スキル webapp-nikto
📦

webapp-nikto

高リスク ⚙️ 外部コマンド🌐 ネットワークアクセス📁 ファイルシステムへのアクセス🔑 環境変数⚡ スクリプトを含む

認可済みの Nikto Web サーバー評価を実行する

Web サーバーの設定ミスや古いコンポーネントを一貫してレビューするのは困難です。このスキルは、認可済みの Nikto スキャン、結果の取り扱い、修復に焦点を当てたレポート作成を支援します。

対応: Claude Codex Code(CC)
⚠️ 38 貧弱
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-webapp-nikto.md 署名済みmanifest GET /api/skills/agentsecops-webapp-nikto/manifest 署名済みlockfile GET /api/skills/agentsecops-webapp-nikto/lockfile

テストする

「webapp-nikto」を使用しています。 ユーザーが、認可済みの 1 台の HTTPS Web サーバーに対するスキャン計画を求めています。

期待される結果:

認可確認、ターゲット URL、スキャン時間帯、安全なタイムアウト設定、レポート形式、検証手順を含む短い評価チェックリスト。

「webapp-nikto」を使用しています。 ユーザーが、複数のサーバー設定に関する検出結果を含む Nikto の結果を提供しています。

期待される結果:

  • 深刻度別にグループ化された検出結果。
  • 確認済みの問題から分離された、誤検知の可能性が高い項目。
  • Web サーバーハードニング管理策に紐付いた修復ガイダンス。

「webapp-nikto」を使用しています。 チームが CI で定期的な Web サーバースキャンを実施したいと考えています。

期待される結果:

制御されたターゲット範囲、アーティファクト保持、アラートルール、適用前の手動レビューを含むパイプライン概要。

セキュリティ監査

高リスク
v6 • 6/28/2026

Static analysis found many command, network, script, environment, and filesystem patterns. Most are false positives from documentation templates or expected Nikto usage, but the skill contains confirmed dual-use scanning guidance, IDS/WAF evasion examples, and a CI template that pipes a remote installer into a shell. No evidence found of prompt injection, credential exfiltration, or malicious payloads, so this is not blocked as malware.

5
スキャンされたファイル
1,962
解析された行数
13
検出結果
6
総監査数

高リスクの問題 (2)

SKILL.md:186-198SKILL.md:392-403
IDS and WAF Evasion Guidance
The skill gives explicit Nikto evasion and WAF-blocking workarounds. Even with authorization warnings, this materially increases dual-use risk because it helps bypass detection during web scanning.
assets/ci-config-template.yml:237-244
Remote Installer Piped to Shell in CI Template
The CI template demonstrates downloading a remote shell installer and piping it directly to bash. This is a supply-chain risk if copied because remote content executes inside CI without pinning or verification.
中リスクの問題 (3)
SKILL.md:28-30SKILL.md:217-225
Authorized Web Vulnerability Scanning Can Affect Targets
The skill is built around running Nikto against web servers. It warns users to get written permission and notes traffic, alerting, log volume, and possible production impact.
SKILL.md:89-90SKILL.md:203-204SKILL.md:289-297
Inline Credentials in Authenticated Scan Examples
Authenticated scanning examples place usernames, passwords, and cookies directly in command lines. These are placeholders, but copied patterns can leak credentials through shell history, logs, or process listings.
SKILL.md:110-111SKILL.md:256-265SKILL.md:300-311
Bulk Scanning Workflow Increases Blast Radius
The skill shows multi-host and bulk scan workflows. This is useful for authorized assessment, but it can create high traffic or scan unintended systems if scope controls are weak.
低リスクの問題 (3)
assets/ci-config-template.yml:161-165assets/rule-template.yaml:146-165references/EXAMPLE.md:422-425
Environment Token Access Is Limited to Security Tool Configuration
The GitHub token and API key references are used in CI or secure-code examples. No evidence found that the skill exfiltrates secrets or instructs users to reveal tokens.
assets/rule-template.yaml:79-91assets/rule-template.yaml:153-165references/EXAMPLE.md:131-161
Vulnerable Code Snippets Are Pedagogical Examples
Static hits for XSS, weak cryptography, hardcoded secrets, and injection occur inside rule templates or reference examples that show vulnerable and fixed patterns for education.
assets/ci-config-template.yml:317-330
Local File Reads Are for Generated Report Comments
The Node.js filesystem access in the CI template reads a locally generated markdown report before creating a pull request comment. No evidence found of arbitrary file reads.

リスク要因

⚙️ 外部コマンド (5)
SKILL.md:79-97 SKILL.md:258-265 SKILL.md:318-331 assets/ci-config-template.yml:240 references/WORKFLOW_CHECKLIST.md:71-75
🌐 ネットワークアクセス (5)
SKILL.md:38-47 SKILL.md:80-93 SKILL.md:190-204 SKILL.md:258-265 assets/rule-template.yaml:41-45
📁 ファイルシステムへのアクセス (4)
SKILL.md:145-159 SKILL.md:303-311 assets/ci-config-template.yml:288-315 assets/ci-config-template.yml:322-323
🔑 環境変数 (3)
assets/ci-config-template.yml:161-165 assets/rule-template.yaml:146-165 references/EXAMPLE.md:422-425
⚡ スクリプトを含む (2)
references/EXAMPLE.md:135-141 assets/rule-template.yaml:201-205

検出されたパターン

Nikto Evasion FlagsRemote Script Execution in PipelineInline Authentication Material in Shell Commands
監査者: codex 監査履歴を表示 →

品質スコア

55
アーキテクチャ
100
保守性
87
コンテンツ
70
コミュニティ
0
セキュリティ
100
仕様準拠

作れるもの

外部 Web サーバーレビュー

承認済みのインターネット公開 Web サーバーに対して、認可済みの Nikto チェックを計画・実行し、修復に向けた検出結果を準備します。

内部ハードニング検証

リリース前、またはインフラ変更後に、Web サーバーのパッチ適用、設定、ヘッダー、公開ファイルを検証します。

コンプライアンス証跡の収集

脆弱性管理と Web サーバーハードニング管理策を支援する、構造化されたスキャンアーティファクトと監査メモを生成します。

これらのプロンプトを試す

基本スキャンを準備する 
テストする権限がある 1 台の Web サーバーに対する Nikto スキャン計画を手伝ってください。スコープ、コマンドオプション、出力形式を含めてください。
スキャン範囲を調整する 
設定ミス、情報漏えい、古いソフトウェアのチェックに重点を置いた、承認済みターゲット向けの Nikto スキャン計画を作成してください。
CI スキャンワークフローを作成する 
認可済みの Nikto スキャンを実行し、レポートを保存し、合意済みの深刻度基準に基づいてのみ失敗させる CI ワークフローを設計してください。
結果を分析して優先順位を付ける 
これらの Nikto 検出結果をレビューし、誤検知の可能性が高いものをグループ化し、確認済みの問題を OWASP と CWE に対応付け、修復の優先順位を推奨してください。

ベストプラクティス

  • アクティブスキャンを実行する前に、書面による認可、ターゲット範囲、ポート、承認済みのスキャン時間帯を確認します。
  • 保守的なタイミングと焦点を絞ったチューニングから始め、影響が許容できる場合にのみ範囲を拡大します。
  • 深刻度を報告したり修復作業を割り当てたりする前に、検出結果を手動で検証します。

回避

  • 所有者から明示的な許可を得ていないシステムをスキャンしないでください。
  • 実際のパスワード、トークン、セッション Cookie を共有コマンドラインに直接含めないでください。
  • コンテキストと手動検証なしに、Nikto の出力を最終的な証拠として扱わないでください。

よくある質問

このスキルは Nikto を単独で実行しますか?
いいえ。これはガイダンスとコマンドパターンを提供します。ユーザーまたはエージェント環境に Nikto がインストールされており、認可済みターゲットが定義されている必要があります。
これは攻撃的セキュリティチーム専用ですか?
いいえ。認可済みの Web サーバー評価を実施する防御担当者、コンサルタント、DevSecOps チームに役立ちます。
本番システムをスキャンできますか?
明示的な承認と合意済みのスキャン時間帯がある場合に限ります。Nikto は多数のリクエストを生成し、監視システムをトリガーする可能性があります。
手動の脆弱性検証を置き換えますか?
いいえ。Nikto は誤検知を生成する可能性があります。リスクを確認したり修復を割り当てたりする前に、人によるレビューが必要です。
コンプライアンス証跡を作成できますか?
はい。脆弱性管理の管理策に向けて、スキャン記録、検出結果、修復メモ、参照情報を構造化するのに役立ちます。
主な安全上の懸念は何ですか?
主な懸念事項は、無認可のスキャン、過剰なトラフィック、コマンド内での認証情報の露出、回避オプションの悪用です。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/offsec/webapp-nikto

参照

main

ファイル構成

📁 assets/

📄 ci-config-template.yml

📄 rule-template.yaml

📁 references/

📄 EXAMPLE.md

📄 WORKFLOW_CHECKLIST.md

📄 SKILL.md