security-audit
Exécuter des audits de sécurité complets
متاح أيضًا من: Consiliency,Joseph OBrien,Joseph OBrien,AppleLamps,ClementWalter
Ce bundle de flux de travail orchestre plusieurs compétences de sécurité pour mener des tests de pénétration complets, des évaluations de vulnérabilités et un renforcement de la sécurité sur les applications web et les API.
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "security-audit". Exécuter un audit de sécurité sur mon API REST
النتيجة المتوقعة:
Je vais mener un audit de sécurité complet de votre API REST suivant notre flux de travail structuré.
**Phase 1 : Reconnaissance**
- Identifier les points de terminaison de l'API et la pile technologique
- Recueillir des renseignements sur les services exposés
**Phase 2 : Scan de vulnérabilités**
- Exécuter des scanners de vulnérabilités automatisés
- Effectuer une analyse statique
- Scanner les dépendances pour les vulnérabilités connues
**Phase 4 : Test de sécurité API**
- Énumérer tous les points de terminaison de l'API
- Tester les mécanismes d'authentification
- Tester les contournements de limitation de débit
- Tester la validation des entrées et la gestion des erreurs
Dois-je procéder avec une phase spécifique ?
استخدام "security-audit". Aidez-moi à tester les vulnérabilités d'injection SQL
النتيجة المتوقعة:
Je vais vous guider à travers le test d'injection SQL en utilisant la compétence @sql-injection-testing.
**Approche de test :**
1. Identifier les points d'injection dans votre application
2. Tester l'injection SQL en utilisant des techniques manuelles
3. Utiliser des outils automatisés pour énumérer les vulnérabilités
4. Documenter la preuve de concept pour chaque découverte
Souhaitez-vous que je procède avec le test de points de terminaison spécifiques ?
التدقيق الأمني
آمنAll static findings are false positives. The 48 external_command detections are markdown code blocks using backticks for prompt examples, not actual shell execution. The Metasploit reference is a skill name to invoke, not tool execution. The weak crypto alerts are triggered by the word 'vulnerability' in context. This is a documentation-only workflow bundle with no executable code.
مشكلات منخفضة المخاطر (3)
درجة الجودة
ماذا يمكنك بناءه
Consultant en sécurité auditant une application web client
Utilisez le flux de travail complet pour mener une évaluation de sécurité complète suivant les méthodologies standard de l'industrie.
Développeur sécurisant sa propre application
Utilisez le scan de vulnérabilités et les phases de renforcement pour trouver et corriger les problèmes de sécurité avant le déploiement en production.
Équipe DevSecOps exécutant des scans automatisés
Intégrez les phases de scan dans les pipelines CI/CD pour une validation continue de la sécurité.
جرّب هذه الموجهات
Utilisez @security-audit pour exécuter un audit de sécurité complet sur mon application web. Commencez par la reconnaissance et travaillez à travers toutes les phases.
Utilisez @security-audit pour effectuer le scan de vulnérabilités de la Phase 2 sur mon application. Concentrez-vous sur les résultats des scanners automatisés.
Utilisez @security-audit pour mener le test de sécurité API de la Phase 4. Testez l'authentification, la limitation de débit et la validation des entrées.
Utilisez @security-audit Phase 7 reporting pour documenter toutes les conclusions et créer un plan de remédiation pour les vulnérabilités trouvées.
أفضل الممارسات
- Obtenez toujours une autorisation écrite avant de tester une cible
- Suivez les phases du flux de travail dans l'ordre pour une couverture complète
- Documentez toutes les conclusions avec des preuves de concept
- Utilisez la liste de contrôle OWASP Top 10 comme couverture minimale de base
تجنب
- Exécuter des tests de pénétration sans autorisation appropriée
- Sauter la reconnaissance et passer directement à l'exploitation
- Ignorer les conclusions des scanners automatisés sans vérification manuelle
- Ne pas documenter les conclusions avec des étapes reproductibles