Compétences backend-security-coder
🔒

backend-security-coder

Sûr

Expert en Code Backend Sécurisé

Construire des applications backend sécurisées avec des conseils d'expert sur l'authentification, la sécurité des API, la validation des entrées et la prévention des vulnérabilités. Fournit des techniques de programmation défensive et des modèles de mise en œuvre axés sur la sécurité pour le développement backend moderne.

Prend en charge: Claude Codex Code(CC)
🥉 75 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "backend-security-coder". Implement secure password storage for user registration

Résultat attendu:

La mise en œuvre du stockage des mots de passe utilise bcrypt avec un facteur de travail de 12, inclut une génération de sel unique par mot de passe et implémente la validation de la force du mot de passe. Le système ne stocke jamais les mots de passe en clair et utilise une comparaison à temps constant pour prévenir les attaques par temporisation.

Utilisation de "backend-security-coder". Review this login endpoint for security issues

Résultat attendu:

Le point de terminaison de connexion présente trois problèmes de sécurité : 1) L'absence de limitation de débit permet les attaques par force brute, 2) Les messages d'erreur révèlent l'existence du nom d'utilisateur, 3) Aucun mécanisme de verrouillage de compte. Les corrections recommandées incluent la mise en œuvre d'une limitation de délai exponentiel, des messages d'erreur génériques et le verrouillage temporaire du compte après les tentatives échouées.

Utilisation de "backend-security-coder". Add CSRF protection to my forms

Résultat attendu:

La mise en œuvre de la protection CSRF inclut : 1) Génération de jeton anti-CSRF utilisant des octets aléatoires cryptographiquement sécurisés, 2) Validation du jeton sur toutes les requêtes changeant l'état, 3) Attribut de cookie SameSite=Strict, 4) Validation de l'en-tête Origin pour les requêtes API, et 5) Modèle de double soumission de cookie pour une protection supplémentaire.

Audit de sécurité

Sûr
v1 • 2/25/2026

Prompt-only skill with no executable code. The skill provides comprehensive guidance on secure backend coding practices including input validation, authentication, API security, and vulnerability prevention. No security risks detected.

1
Fichiers analysés
159
Lignes analysées
0
résultats
1
Total des audits
Aucun problème de sécurité trouvé
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
100
Sécurité
100
Conformité aux spécifications

Ce que vous pouvez construire

Développement d'API Sécurisées

Construire des API REST sécurisées avec une authentification appropriée, une limitation de débit et une validation des entrées pour prévenir les vecteurs d'attaque courants comme l'injection et le contournement de l'authentification.

Mise en Œuvre du Système d'Authentification

Mettre en œuvre une authentification utilisateur sécurisée avec JWT, OAuth, l'authentification multifacteur et une gestion sécurisée des sessions selon les directives OWASP.

Revue de Code de Sécurité

Examiner le code backend existant pour détecter les vulnérabilités de sécurité, y compris les risques d'injection, les failles d'authentification et la manipulation non sécurisée des données avec des étapes de correction exploitables.

Essayez ces prompts

Mettre en Œuvre une Authentification Sécurisée 
Mettre en œuvre un système d'authentification utilisateur sécurisé utilisant JWT. Inclure le hachage de mot de passe avec bcrypt, la rotation des jetons de rafraîchissement et une gestion sécurisée des sessions.
Point de Terminaison API Sécurisé 
Examiner et sécuriser ce point de terminaison API contre les attaques par injection. Ajouter la validation des entrées, la limitation de débit et une gestion appropriée des erreurs.
Mise en Œuvre de la Sécurité Base de Données 
Configurer l'accès à la base de données sécurisé avec des requêtes paramétrées, des contrôles d'accès appropriés et le chiffrement au niveau des champs pour les données sensibles.
Configuration de la Protection CSRF 
Mettre en œuvre une protection CSRF complète avec des jetons anti-CSRF, des attributs de cookie SameSite et la validation des en-têtes pour les opérations changeant l'état.

Bonnes pratiques

  • Toujours utiliser des requêtes paramétrées et des instructions préparées pour prévenir les attaques par injection SQL
  • Mettre en œuvre la défense en profondeur avec plusieurs couches de sécurité, y compris la validation des entrées, l'authentification et l'autorisation
  • Appliquer le principe du moindre privilège pour l'accès aux bases de données, les permissions API et les opérations du système de fichiers

Éviter

  • Ne concaténer jamais les entrées utilisateur directement dans les requêtes de base de données ou les chaînes de commande
  • Éviter d'exposer les informations sensibles dans les messages d'erreur, les journaux ou les réponses API
  • Ne pas mettre en œuvre d'authentification ou de chiffrement personnalisé - utiliser des bibliothèques et des protocoles établis

Foire aux questions

Quelle est la différence entre cette compétence et security-auditor ?
Cette compétence se concentre sur le codage pratique de la sécurité backend - écrire du code sécurisé, mettre en œuvre l'authentification et corriger les vulnérabilités. Security-auditor se concentre sur les audits de sécurité de haut niveau, les évaluations de conformité et la modélisation des menaces. Utilisez cette compétence pour écrire du code backend sécurisé, et security-auditor pour évaluer la posture de sécurité globale.
Cette compétence peut-elle remplacer les tests de sécurité manuels ?
Non. Cette compétence fournit des conseils d'expert sur les pratiques de codage sécurisé, mais ne peut pas remplacer les tests de sécurité manuels, les tests d'intrusion ou les scanneurs automatisés de vulnérabilités. Elle doit être utilisée aux côtés des pratiques de tests de sécurité complètes dans le cadre d'un cycle de développement sécurisé.
Quelles méthodes d'authentification cette compétence prend-elle en charge ?
Cette compétence couvre la sécurité JWT, la mise en œuvre OAuth 2.0/2.1, l'authentification multifacteur avec TOTP et les jetons matériels, le hachage sécurisé des mots de passe avec bcrypt et Argon2, et la gestion sécurisée des sessions. Elle se concentre sur les protocoles standard de l'industrie et les implémentations éprouvées.
Cette compétence effectue-t-elle un scan automatisé du code ?
Non. Cette compétence fournit des conseils et des recommandations pour les pratiques de codage backend sécurisé lorsque vous lui demandez de réviser du code ou de mettre en œuvre des fonctionnalités de sécurité. Elle n'analyse pas automatiquement votre base de code ou n'exécute pas d'outils d'analyse de sécurité. Vous devez utiliser des outils de scan de sécurité dédiés pour la détection automatisée des vulnérabilités.
Quels types d'applications bénéficient le plus de cette compétence ?
Cette compétence est idéale pour les applications web, les API REST, les microservices et tout système backend gérant l'authentification utilisateur, les données sensibles ou les intégrations externes. Elle est particulièrement précieuse pour les applications gérant les données utilisateur, traitant les paiements ou nécessitant une conformité réglementaire.
Cette compétence peut-elle aider avec les exigences de conformité comme SOC 2 ou GDPR ?
Oui. Cette compétence fournit des pratiques de codage sécurisé qui prennent en charge les exigences de conformité, y compris le chiffrement au repos et en transit, la journalisation d'audit, les contrôles d'accès, la minimisation des données et la gestion sécurisée des erreurs. Cependant, elle ne fournit pas de conseils de conformité juridique - consultez des experts en conformité pour les exigences réglementaires spécifiques.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/backend-security-coder

Réf

main

Structure de fichiers

📄 SKILL.md