Compétences pentest-checklist
🛡️

pentest-checklist

Sûr

Planifier des Tests de Pénétration Professionnels

Cette compétence fournit un cadre complet pour planifier et exécuter des tests de pénétration, en assurant une autorisation appropriée, un périmètre défini et un suivi des corrections pour des évaluations de sécurité efficaces.

Prend en charge: Claude Codex Code(CC)
⚠️ 65 Médiocre
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "pentest-checklist". Quelles sont les phases clés d'un test de pénétration ?

Résultat attendu:

Un pentest suit typiquement cinq phases : 1) Définition du Périmètre (objectifs, menaces, limites), 2) Préparation de l'Environnement (configuration de l'environnement de test, scanning de base), 3) Sélection de l'Expertise (sélection du prestataire, définition de la méthodologie), 4) Monitoring (monitoring de sécurité, configuration des logs), 5) Corrections (analyse des constatations, vérification des correctifs).

Utilisation de "pentest-checklist". Que doit inclure un document de périmètre de pentest ?

Résultat attendu:

Un document de périmètre de pentest doit inclure : les systèmes cibles (IPs, domaines, applications), les éléments hors périmètre, les techniques de test autorisées, le calendrier et la planification, les identifiants d'accès fournis, les contacts d'urgence, la confirmation d'autorisation légale et les exigences de conformité.

Utilisation de "pentest-checklist". Comment évaluer les prestataires de tests de pénétration ?

Résultat attendu:

Évaluez les prestataires en : vérifiant les certifications (OSCP, GPEN, CEH, CREST), examinant des exemples de rapports pour la qualité et le détail, vérifiant l'expérience avec des organisations similaires, confirmant l'alignement méthodologique (OWASP, PTES), évaluant les processus de communication et vérifiant les références de clients similaires.

Audit de sécurité

Sûr
v1 • 2/24/2026

This skill is a documentation/guide for planning legitimate penetration tests. The static analyzer flagged example commands (nmap, nikto, tcpdump), tool references, and cloud provider documentation links. All flagged items are legitimate security testing educational content shown in markdown code blocks - they are not executable code. The skill emphasizes authorization, legal compliance, and proper scoping. All 31 static findings are FALSE POSITIVES.

1
Fichiers analysés
340
Lignes analysées
4
résultats
1
Total des audits

Problèmes à risque élevé (4)

SKILL.md:109-115SKILL.md:197-204SKILL.md:321-322
Static Analyzer Flag: Example Security Tools Referenced
Example commands in code blocks (nmap, nikto, tcpdump, sudo) are LEGITIMATE security testing tools shown for educational purposes in markdown documentation. These are not executable by the skill - they are example references for users to understand pentest methodology.
SKILL.md:130-132
Static Analyzer Flag: Hardcoded URLs to Cloud Provider Docs
URLs to AWS, Azure, GCP security documentation are legitimate reference links for penetration testing policies.
SKILL.md:68SKILL.md:138SKILL.md:217SKILL.md:248-255SKILL.md:300
Static Analyzer Flag: System/Network Reconnaissance Keywords
Mentions of reconnaissance, scanning tools, and testing techniques are part of legitimate security education - explaining what pentesters test FOR, not how to attack without authorization.
SKILL.md:254
Static Analyzer Flag: Malware Type Keywords
Mentions of 'backdoors' appear in the cleanup procedure section - instructing users to REMOVE test artifacts, not create them.
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
85
Contenu
32
Communauté
65
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Première Évaluation de Sécurité

Un responsable de sécurité planifiant la première évaluation externe de son organisation utilise cette compétence pour comprendre le périmètre, le budget et les critères de sélection des prestataires.

Planification Annuelle de Pentest

Un directeur IT planifie des tests de pénétration récurrents et utilise la compétence pour assurer une autorisation appropriée, la préparation de l'environnement et le suivi des corrections.

Coordination d'Exercice Red Team

Un lead red team utilise la compétence pour coordonner des exercices complets de simulation d'adversaire, incluant la définition du périmètre, les règles d'engagement et le nettoyage post-exercice.

Essayez ces prompts

Planification de Pentest de Base 
Aidez-moi à planifier un test de pénétration pour l'application web de mon entreprise. Quelles sont les phases clés que je devrais suivre ?
Définir le Périmètre du Pentest 
Que dois-je inclure dans le document de périmètre pour un pentest d'application web ? Quels systèmes sont typiquement dans le périmètre et hors périmètre ?
Sélectionner le Type de Test 
Quelle est la différence entre les tests de pénétration black box, gray box et white box ? Lequel devrais-je choisir pour mon évaluation de réseau externe ?
Planification des Corrections 
Après avoir reçu les résultats du pentest, comment devrais-je prioriser et suivre les corrections des constatations ?

Bonnes pratiques

  • Toujours obtenir une autorisation légale écrite avant les tests
  • Définir des limites de périmètre claires et documenter les exclusions
  • Planifier les tests pendant les périodes de faible trafic
  • Assurer un logging et un monitoring complets pendant les tests
  • Planifier du temps de correction et des tests de vérification après les résultats

Éviter

  • Tester en production sans mesures de protection appropriées
  • Sauter la phase de documentation d'autorisation
  • Permettre un périmètre de test illimité sans limites
  • Ignorer les constatations qui semblent de faible sévérité
  • Ne pas planifier de tests de vérification de suivi

Foire aux questions

Cette compétence est-elle un remplacement pour les testeurs de pénétration professionnels ?
Non. Cette compétence fournit des conseils de planification et des listes de contrôle. Des testeurs de pénétration professionnels avec des certifications appropriées (OSCP, GPEN) devraient exécuter les tests réels.
Quels types de tests de pénétration puis-je planifier avec cette compétence ?
Vous pouvez planifier des pentests de réseau externe, des pentests de réseau interne, des tests d'applications web, des évaluations d'ingénierie sociale et des exercices red team.
À quelle fréquence devrais-je effectuer des tests de pénétration ?
Les tests annuels sont le minimum pour la plupart des organisations. Les environnements à haut risque, les changements fréquents ou les exigences réglementaires (PCI-DSS) peuvent nécessiter des tests trimestriels ou continus.
Quels frameworks de conformité cette compétence aborde-t-elle ?
La compétence fait référence aux exigences de conformité GDPR, PCI-DSS et HIPAA pour les tests de sécurité.
Puis-je utiliser cette compétence pour les programmes bug bounty ?
Oui, la compétence mentionne les bug bounty comme alternative ou complément aux tests de pénétration traditionnels pour l'évaluation continue de la sécurité.
Que dois-je faire avec les constatations du pentest ?
Priorisez les constatations par sévérité de risque, développez des plans de correction, implémentez les correctifs et planifiez des tests de vérification pour confirmer que les vulnérabilités sont résolues.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/pentest-checklist

Réf

main

Structure de fichiers

📄 SKILL.md