Compétences html-injection-testing
🛡️
html-injection-testing
Risque faible ⚡
Contient des scripts⚙️
Commandes externes🌐
Accès réseau
Test des vulnérabilités d'injection HTML
Les applications Web échouent souvent à bien valider les entrées utilisateur, permettant aux attaquants d'injecter du contenu HTML malveillant. Cette compétence fournit une méthodologie complète pour identifier les failles d'injection HTML via des tests de sécurité autorisés.
Prend en charge: Claude Codex Code(CC)
1
Télécharger le ZIP du skill
2
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
3
Activez et commencez à utiliser
Tester
Utilisation de "html-injection-testing". Tester le paramètre de recherche pour l'injection HTML
Résultat attendu:
- Phase 1 : Point d'injection identifié au paramètre /search?q=
- Phase 2 : Résultats du test de payload basique : <h1>Test</h1> s'affiche comme titre - VULNÉRABLE
- Phase 3 : Injection stockée confirmée - le payload persiste après rechargement de la page
- Recommandation : Implémenter l'encodage de sortie en utilisant htmlspecialchars() ou DOMPurify
Utilisation de "html-injection-testing". Quels payloads de phishing peuvent démontrer le risque d'injection HTML ?
Résultat attendu:
- Payload de démonstration : Formulaire superposé capturant les identifiants
- Impact : L'attaquant peut récolter les identifiants utilisateur via un faux formulaire de connexion
- Sévérité : Moyenne à élevée selon la valeur de l'authentification
- Correction : Validation stricte des entrées et en-têtes CSP
Audit de sécurité
Risque faiblev1 • 2/25/2026
This is a legitimate educational security testing skill for authorized HTML injection vulnerability assessment. Static findings are false positives or expected content for security education. The skill teaches penetration testing methodologies for identifying and reporting HTML injection flaws in web applications. All examples are clearly educational and the skill includes proper remediation guidance.
1
Fichiers analysés
504
Lignes analysées
7
résultats
1
Total des audits
Problèmes à risque moyen (2)
innerHTML Assignment Examples
The skill contains examples of vulnerable innerHTML usage at lines 429 and 433. These are part of the 'Prevention and Remediation' section showing what NOT to do - they are educational examples of vulnerable patterns, not actual vulnerabilities in the skill itself.
External Command Execution in Examples
The skill contains curl command examples for testing. These are standard security testing tools used for authorized vulnerability assessment. All examples target 'target.com' which is a placeholder domain, not real systems.
Problèmes à risque faible (2)
Hardcoded URLs in Examples
Examples contain URLs to 'attacker.com' and similar domains. These are standard educational placeholders used in security training. No actual malicious infrastructure is referenced.
Encoding and Obfuscation Techniques
The skill documents bypass techniques using various encoding methods (URL, HTML entities, Unicode). This is standard educational content for understanding filter evasion in security testing.
Facteurs de risque
⚡ Contient des scripts (2)
⚙️ Commandes externes (60)
SKILL.md:44-57 SKILL.md:57-74 SKILL.md:74-85 SKILL.md:85-88 SKILL.md:88-99 SKILL.md:99-105 SKILL.md:105-125 SKILL.md:125-128 SKILL.md:128-137 SKILL.md:137-145 SKILL.md:145-160 SKILL.md:160-166 SKILL.md:166-172 SKILL.md:172-178 SKILL.md:178-186 SKILL.md:186-192 SKILL.md:192-198 SKILL.md:198-204 SKILL.md:204-228 SKILL.md:228-231 SKILL.md:231-233 SKILL.md:233-239 SKILL.md:239-261 SKILL.md:261-267 SKILL.md:267-277 SKILL.md:277-281 SKILL.md:281-287 SKILL.md:287-291 SKILL.md:291-298 SKILL.md:298-302 SKILL.md:302-308 SKILL.md:308-314 SKILL.md:314-339 SKILL.md:339-345 SKILL.md:345-353 SKILL.md:353-357 SKILL.md:357-362 SKILL.md:362-366 SKILL.md:366-397 SKILL.md:397-403 SKILL.md:403-412 SKILL.md:412-414 SKILL.md:414-422 SKILL.md:422-424 SKILL.md:424-434 SKILL.md:434-448 SKILL.md:448-449 SKILL.md:449-450 SKILL.md:450-451 SKILL.md:451-452 SKILL.md:452-453 SKILL.md:453-459 SKILL.md:459-469 SKILL.md:469 SKILL.md:469-470 SKILL.md:470 SKILL.md:470-471 SKILL.md:471 SKILL.md:471-472 SKILL.md:472
🌐 Accès réseau (30)
SKILL.md:390 SKILL.md:119 SKILL.md:120 SKILL.md:123 SKILL.md:130 SKILL.md:133 SKILL.md:136 SKILL.md:150 SKILL.md:155 SKILL.md:168 SKILL.md:168 SKILL.md:171 SKILL.md:181 SKILL.md:185 SKILL.md:194 SKILL.md:197 SKILL.md:210 SKILL.md:221 SKILL.md:223 SKILL.md:232 SKILL.md:254 SKILL.md:270 SKILL.md:276 SKILL.md:283 SKILL.md:293 SKILL.md:304 SKILL.md:307 SKILL.md:371 SKILL.md:379 SKILL.md:382
Motifs détectés
False Positive: Windows SAM Database DetectionEducational Code Examples
Audité par: claude
Score de qualité
38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
76
Sécurité
96
Conformité aux spécifications
Ce que vous pouvez construire
Consultant en sécurité évaluant les applications Web client
Un testeur d'intrusion effectuant une évaluation de sécurité autorisée pour un client doit identifier les vulnérabilités d'injection HTML dans leurs applications Web et fournir un rapport complet avec des étapes de correction.
Développeur apprenant la sécurité Web
Un développeur Web souhaite comprendre les vulnérabilités d'injection HTML pour écrire du code plus sécurisé et valider correctement les entrées utilisateur dans ses applications.
Ingénieur QA testant le gestion des entrées
Un ingénieur QA doit vérifier que le gestion des entrées de l'application nettoie correctement le contenu HTML et prévient les attaques par injection.
Essayez ces prompts
Test de base d'injection HTML
Utilisez la compétence html-injection-testing pour m'aider à tester si la fonction de recherche de notre application est vulnérable à l'injection HTML. Le paramètre de recherche est 'q' et l'URL est http://example.com/search
Évaluation de l'injection stockée
Aidez-moi à tester l'injection HTML stockée dans le champ de biographie du profil utilisateur en utilisant la compétence html-injection-testing. Quels payloads de test dois-je utiliser et comment vérifier si l'injection est stockée ?
Test de contournement de filtre
Notre application prétend filtrer les balises HTML. En utilisant la compétence html-injection-testing, quelles techniques d'encodage et de contournement dois-je tester pour vérifier si le filtre peut être contourné ?
Vérification de correction
Après avoir implémenté le nettoyage des entrées, comment puis-je utiliser la compétence html-injection-testing pour vérifier que la correction est efficace et qu'il ne reste aucun vecteur d'injection HTML ?
Bonnes pratiques
- Obtenir toujours une autorisation écrite avant de tester toute application Web
- Documenter toutes les découvertes avec des captures d'écran proof-of-concept et les paires requête/réponse
- Tester les paramètres GET et POST, incluant les champs cachés et les cookies
- Inclure des conseils de correction dans votre rapport pour aider les développeurs à corriger les problèmes
Éviter
- Tester les systèmes de production sans autorisation explicite
- Utiliser les vulnérabilités découvertes pour accéder ou exfiltrer des données
- Se concentrer uniquement sur les outils automatisés sans vérification manuelle
- Rapporter les découvertes sans fournir des étapes de reproduction claires
Foire aux questions
Quelle est la différence entre l'injection HTML et le XSS ?
L'injection HTML permet aux attaquants d'injecter du contenu HTML malveillant dans les pages Web, n'affectant que l'apparence de la page. Le XSS (Cross-Site Scripting) permet l'exécution de code JavaScript, ce qui est plus grave car il peut voler des cookies, des jetons de session ou effectuer des actions au nom de l'utilisateur.
L'injection HTML peut-elle mener à une compromission de compte ?
Oui, via des attaques de phishing. Les attaquants peuvent injecter de faux formulaires de connexion qui apparaissent légitimes et capturer les identifiants utilisateur lors de la soumission.
Quels outils sont recommandés pour les tests d'injection HTML ?
Burp Suite, OWASP ZAP et les tests manuels avec curl sont les principaux outils. Les scanners automatisés peuvent trouver des points d'injection basiques mais les tests manuels sont nécessaires pour les scénarios complexes.
Comment prévenir l'injection HTML dans mon application Web ?
Utilisez l'encodage de sortie (htmlspecialchars en PHP, escape en Python), implémentez des en-têtes Content Security Policy, validez les entrées contre des listes blanches, et utilisez des frameworks modernes qui échappent automatiquement par défaut.
Est-ce que tester sur localhost est considéré comme éthique ?
Tester vos propres systèmes ou les systèmes que vous possédez est généralement acceptable. Assurez-vous toujours d'avoir une autorisation écrite explicite pour tout système que vous ne possédez pas.
Quelle est la sévérité typique de l'injection HTML ?
L'injection HTML est généralement de sévérité moyenne car elle ne peut pas exécuter JavaScript directement. Cependant, combinée au phishing ou à la défiguration, l'impact peut être élevé, surtout sur les sites avec authentification utilisateur.