Compétences threat-modeling-expert
🛡️

threat-modeling-expert

Sûr

Effectuer une modélisation des menaces experte pour la conception de systèmes sécurisés

Les équipes de sécurité peinent à identifier systématiquement les menaces lors de la conception de systèmes. Cette compétence applique des méthodologies structurées comme STRIDE et les arbres d'attaque pour trouver les vulnérabilités avant le déploiement.

Prend en charge: Claude Codex Code(CC)
🥉 74 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "threat-modeling-expert". Analysez un point de terminaison API de connexion qui accepte nom d'utilisateur/mot de passe et retourne des jetons JWT

Résultat attendu:

Résultats de l'analyse STRIDE :
- Usurpation : Force brute des identifiants, détournement de session via des jetons volés
- Falsification : Manipulation des jetons, interception et modification des requêtes
- Réputation : Journaux d'audit manquants pour les événements d'authentification
- Divulgation d'informations : Identifiants en transit, messages d'erreur révélant des noms d'utilisateur valides
- Déni de service : Lacunes dans la limitation du débit, contournement du verrouillage de compte
- Élevation de privilèges : Éscalation de privilèges de jeton, manipulation des rôles

Priorité absolue : Implémentez la limitation du débit, le stockage sécurisé des jetons et la journalisation complète de l'authentification.

Utilisation de "threat-modeling-expert". Construisez un arbre d'attaque pour 'Vol de données de paiement client depuis une plateforme e-commerce'

Résultat attendu:

Racine de l'arbre d'attaque : Vol de données de paiement
├─ Compromission de la couche application
│ ├─ Injection SQL sur le formulaire de paiement
│ ├─ XSS pour capturer la saisie de carte
│ └─ Abus d'API pour énumérer les transactions
├─ Compromission de l'infrastructure
│ ├─ Intercepter le trafic réseau
│ ├─ Accéder aux sauvegardes de base de données
│ └─ Exploiter les systèmes de journalisation
└─ Ingénierie sociale
├─ Hameçonnage du personnel de support
└─ Impersonnalisation d'utilisateurs légitimes

Contrôles recommandés : Validation des entrées, règles WAF, chiffrement au repos, segmentation réseau, formation du personnel

Audit de sécurité

Sûr
v1 • 2/25/2026

This skill contains documentation-only content (SKILL.md) describing threat modeling methodologies. All 7 static analysis findings for 'Weak cryptographic algorithm' and 'System reconnaissance' are false positives caused by security terminology in documentation text matching pattern detectors. No executable code, cryptographic operations, or actual reconnaissance capabilities exist. Safe for publication.

1
Fichiers analysés
63
Lignes analysées
0
résultats
1
Total des audits
Aucun problème de sécurité trouvé

Motifs détectés

False Positive: Weak Cryptographic Algorithm PatternFalse Positive: System Reconnaissance Pattern
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Révision de l'architecture de sécurité

Effectuer une modélisation complète des menaces lors de la phase de conception du système pour identifier les vulnérabilités avant le début du développement.

Analyse de la surface d'attaque

Construire des arbres d'attaque pour les fonctionnalités critiques afin de comprendre les chemins d'exploitation potentiels et prioriser les défenses.

Documentation de sécurité

Générer des modèles de menaces structurés et des exigences de sécurité pour les audits de conformité et la transmission aux équipes opérationnelles.

Essayez ces prompts

Brainstorming de base des menaces 
Analysez cette description système en utilisant la méthodologie STRIDE : [décrivez votre système]. Listez les menaces potentielles pour chaque catégorie STRIDE avec des descriptions d'une phrase.
Analyse des menaces du flux de données 
Voici mon diagramme de flux de données : [décrivez les flux de données, les limites de confiance et les composants]. Appliquez STRIDE à chaque flux de données et composant. Pour chaque menace identifiée, fournissez un score de risque (1-5) et une atténuation recommandée.
Construction d'arbre d'attaque 
Construisez un arbre d'attaque pour ce scénario : [décrivez l'objectif de l'attaque, par exemple 'Accès non autorisé à la base de données des utilisateurs']. Commencez par l'objectif racine, identifiez les principaux chemins d'attaque comme nœuds de premier niveau, puis développez chaque chemin avec des techniques spécifiques. Incluez des estimations de vraisemblance pour les nœuds feuilles.
Extraction des exigences de sécurité 
Sur la base de ce modèle de menaces : [collez les menaces], extrayez des exigences de sécurité spécifiques pour chaque risque identifié. Formatez chaque exigence comme suit : 'Le système DOIT [action] pour prévenir/atténuer [menace]'. Organisez les exigences par domaine fonctionnel et priorisez par score de risque.

Bonnes pratiques

  • Impliquez les développeurs et architectes dans les sessions de modélisation des menaces pour une compréhension précise du système
  • Concentrez l'analyse sur les flux de données et les limites de confiance plutôt que sur les simples listes de composants
  • Mettez à jour les modèles de menaces après chaque changement important d'architecture ou ajout de nouvelle fonctionnalité

Éviter

  • Effectuer la modélisation des menaces une seule fois au début du projet sans réexamens de suivi
  • Créer des arbres d'attaque trop détaillés qui deviennent une documentation ingérable
  • Identifier les menaces sans les lier à des atténuations et responsables spécifiques

Foire aux questions

Quelle est la différence entre les méthodologies STRIDE et PASTA ?
STRIDE catégorise les menaces (Usurpation, Falsification, Réputation, Divulgation d'informations, Déni de service, Élevation de privilèges) pour une couverture systématique. PASTA est un processus centré sur les risques en sept étapes qui aligne les menaces sur les objectifs métier. Utilisez STRIDE pour l'analyse au niveau des composants et PASTA pour les évaluations de risques alignées sur le métier.
Comment prioriser quelles menaces traiter en premier ?
Notez chaque menace en utilisant DREAD ou similaire : considérez le potentiel de dommage, la reproductibilité, l'exploitabilité, les utilisateurs affectés et la découvabilité. Traitez d'abord les menaces à fort dommage et forte vraisemblance. Tenez compte du contexte métier et des exigences réglementaires lors de la priorisation.
Cette compétence peut-elle remplacer un audit de sécurité professionnel ?
Non. Cette compétence fournit des conseils structurés de modélisation des menaces mais ne peut pas remplacer les audits de sécurité certifiés, les tests d'intrusion ou les évaluations de conformité. Utilisez-la comme un outil de conception proactif aux côtés des processus de sécurité formels.
Quelle doivent être les détails des arbres d'attaque pour une utilisation pratique ?
Concentrez-vous sur 2-3 niveaux de profondeur pour des insights actionnables. Trop superficiel manque les chemins d'attaque ; trop profond devient ingérable. Arrêtez de développer lorsque les nœuds feuilles représentent des techniques d'attaque spécifiques et testables avec des atténuations claires.
Quelles entrées dois-je fournir pour une modélisation efficace des menaces ?
Fournissez des diagrammes d'architecture système, des descriptions de flux de données, des limites de confiance, des listes d'actifs et des contraintes connues. Plus le contexte sur la conception du système et les exigences métier est fourni, plus l'analyse des menaces sera précise et pertinente.
À quelle fréquence les modèles de menaces doivent-ils être révisés et mis à jour ?
Révisez les modèles de menaces après chaque changement important d'architecture, ajout de nouvelle fonctionnalité ou incident de sécurité. Planifiez des révisions trimestrielles pour les systèmes stables. Traitez les modèles de menaces comme des documents vivants qui évoluent avec votre système.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/threat-modeling-expert

Réf

main

Structure de fichiers

📄 SKILL.md