web-security-testing
Prueba de Aplicaciones Web para Vulnerabilidades OWASP Top 10
Este flujo de trabajo te guía a través de pruebas de seguridad exhaustivas de aplicaciones web siguiendo la metodología OWASP Top 10, desde el reconocimiento hasta el informe.
Descargar el ZIP de la skill
Subir en Claude
Ve a Configuración → Capacidades → Skills → Subir skill
Activa y empieza a usar
Pruébalo
Usando "web-security-testing". Usa @web-security-testing para probar mi aplicación web en https://example.com
Resultado esperado:
- Iniciando Fase 1: Reconocimiento
- - Mapeando la superficie de la aplicación
- - Identificando tecnologías utilizadas
- - Descubriendo endpoints
- - Encontrando subdominios
- - Documentando hallazgos iniciales
- Listo para proceder a la Fase 2: Pruebas de Inyección
Usando "web-security-testing". Estamos en la Fase 3 de @web-security-testing. Prueba XSS en la función de búsqueda.
Resultado esperado:
- Fase 3: Pruebas XSS
- Probando vectores: reflejado, almacenado, basado en DOM
- Casos de prueba a ejecutar:
- - <script>alert(1)</script>
- - <img src=x onerror=alert(1)>
- - <svg onload=alert(1)>
- Documenta todos los bypasses exitosos con prueba de concepto
Auditoría de seguridad
SeguroStatic analysis flagged 33 potential issues (31 external_commands, 2 weak cryptographic algorithms). After evaluation, all findings are FALSE POSITIVES. The external_commands detections are markdown code formatting (backticks) used for skill references like @scanning-tools, not actual shell execution. The cryptographic flags are false positives from keywords in the OWASP checklist. This is a legitimate security testing workflow with no malicious code.
Problemas de riesgo alto (1)
Problemas de riesgo medio (1)
Puntuación de calidad
Lo que puedes crear
Evaluación Exhaustiva de Seguridad
Realiza una auditoría completa de seguridad de una aplicación web siguiendo una metodología estructurada OWASP Top 10 con pruebas detalladas fase por fase.
Reconocimiento para Bug Bounty
Utiliza el flujo de trabajo para la caza de bug bounty, probando sistemáticamente aplicaciones objetivo en busca de vulnerabilidades de manera estructurada.
Validación de Seguridad
Verifica que los controles de seguridad estén implementados correctamente en una aplicación web antes del despliegue en producción.
Prueba estos prompts
Usa @web-security-testing para probar mi aplicación web en busca de vulnerabilidades de seguridad. Objetivo: [URL]
Estamos en la Fase 2 de @web-security-testing. Prueba inyección SQL en el formulario de inicio de sesión en [URL] con el parámetro [param]
Siguiendo la Fase 3 de @web-security-testing, prueba vulnerabilidades XSS en la sección de comentarios en [URL]
Hemos completado todas las fases de @web-security-testing. Genera un informe de seguridad resumiendo los hallazgos y pasos de remediación.
Mejores prácticas
- Siempre obtén autorización adecuada antes de probar cualquier aplicación
- Sigue las fases del flujo de trabajo en orden para una cobertura exhaustiva
- Documenta todos los hallazgos con prueba de concepto para cada vulnerabilidad
- Invoca habilidades referenciadas para pruebas especializadas en cada fase
Evitar
- Saltar fases - cada fase se basa en el reconocimiento previo
- Probar en producción sin autorización
- No documentar hallazgos con pasos de reproducción
- Ignorar hallazgos de baja severidad sin evaluación de riesgo adecuada
Preguntas frecuentes
¿Esta habilidad ejecuta exploits reales?
¿Necesito otras habilidades para usar este flujo de trabajo?
¿Es adecuado para pruebas en producción?
¿Qué categorías de OWASP están cubiertas?
¿Puedo personalizar este flujo de trabajo?
¿Qué formato de salida debo usar para los informes?
Detalles del desarrollador
Autor
sickn33Licencia
MIT
Repositorio
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/web-security-testingRef.
main
Estructura de archivos
📄 SKILL.md