スキル webapp-sqlmap
📦

webapp-sqlmap

高リスク ⚙️ 外部コマンド🌐 ネットワークアクセス📁 ファイルシステムへのアクセス🔑 環境変数⚡ スクリプトを含む

sqlmapでSQLインジェクションを評価

SQLインジェクションテストはリスクがあり、一貫して文書化するのが難しい場合があります。このスキルは、検出、検証、列挙、修復レポート作成のための、承認済みsqlmapワークフローを体系化します。

対応: Claude Codex Code(CC)
⚠️ 38 貧弱
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-webapp-sqlmap.md 署名済みmanifest GET /api/skills/agentsecops-webapp-sqlmap/manifest 署名済みlockfile GET /api/skills/agentsecops-webapp-sqlmap/lockfile

テストする

「webapp-sqlmap」を使用しています。 書面による承認があるステージング環境のログインフォームについて、安全な評価を計画してください。

期待される結果:

回答はスコープ確認から始まり、低影響の検出設定を選択し、証跡の範囲を定義し、修復に焦点を当てたレポートセクションを列挙します。

「webapp-sqlmap」を使用しています。 脆弱な検索パラメータに対する制御されたsqlmap結果を要約してください。

期待される結果:

回答は、影響を受けるパラメータ、確認されたインジェクション種別、データベース露出レベル、ビジネス影響、修正策を、ダンプされた機密レコードを含めずに説明します。

「webapp-sqlmap」を使用しています。 SQLインジェクション検出後の修復チェックリストを作成してください。

期待される結果:

  • すべてのデータベース呼び出しにパラメーター化クエリを使用する。
  • アプリケーションのデータベースアカウントに最小権限を適用する。
  • インジェクション試行に対する回帰テストと監視を追加する。

セキュリティ監査

高リスク
v6 • 6/28/2026

The static findings are mixed: generic reference templates create many false positives, but the main skill contains confirmed dual-use offensive sqlmap guidance. The skill is not deceptive and includes authorization warnings, but it provides explicit workflows for data extraction, file access, OS shells, WAF evasion, and Tor use, so it should not be published without strict marketplace controls.

5
スキャンされたファイル
1,984
解析された行数
12
検出結果
6
総監査数

高リスクの問題 (3)

SKILL.md:166-209SKILL.md:317-321
Dual-use SQL injection exploitation workflow
The main skill goes beyond detection and instructs users on database enumeration, table dumping, credential extraction, server file reads, file writes, and OS shell access. These are legitimate in authorized tests but can directly enable unauthorized compromise.
SKILL.md:221-245SKILL.md:406-418
WAF bypass and anonymity guidance
The skill teaches tamper scripts, random user agents, proxy use, Tor checks, method changes, and randomized delays. These techniques can support authorized testing, but they also lower barriers for evasion during unauthorized attacks.
assets/ci-config-template.yml:237-244
Unsafe pipe-to-shell installer pattern in CI template
The CI template includes a curl-to-shell installation pattern. If copied into a workflow, this executes remote code from the network during CI and creates supply-chain risk.
中リスクの問題 (2)
SKILL.md:30-46SKILL.md:292-354
Operational execution examples require strong scope controls
Many static external-command and network findings come from sqlmap command examples against example domains. The commands are not executed by the skill itself, but they are actionable instructions for invasive network testing.
assets/rule-template.yaml:93-165assets/ci-config-template.yml:150-172
Credential and environment examples are mostly benign templates
The scanner flagged environment variables, token names, and secret examples in rule and CI templates. These are mostly demonstrative security-scanning examples, but they can normalize copying placeholder secrets or broad token access if used carelessly.
低リスクの問題 (2)
references/EXAMPLE.md:89-162assets/rule-template.yaml:235-300
Static script and crypto hits in references are false positives
The document.write, innerHTML, MD5, SHA1, and API key patterns in the reference files are vulnerable-code examples used to teach detection and remediation. No evidence found that they are executable skill logic or hidden malicious behavior.
SKILL.md:1-20
Prompt injection search found no evidence
No evidence found in the analyzed files for override instructions, fake system messages, pre-approval claims, or instructions to skip security review.

リスク要因

⚙️ 外部コマンド (5)
SKILL.md:34-46 SKILL.md:170-185 SKILL.md:200-209 assets/ci-config-template.yml:54-61 assets/ci-config-template.yml:237-244
🌐 ネットワークアクセス (4)
SKILL.md:36-39 SKILL.md:221-245 SKILL.md:326-337 assets/ci-config-template.yml:237-244
📁 ファイルシステムへのアクセス (4)
SKILL.md:191-198 SKILL.md:268-270 SKILL.md:371-387 assets/ci-config-template.yml:317-330
🔑 環境変数 (3)
assets/ci-config-template.yml:161-165 assets/rule-template.yaml:146-165 references/EXAMPLE.md:412-447
⚡ スクリプトを含む (3)
references/EXAMPLE.md:131-162 assets/ci-config-template.yml:67-92 assets/ci-config-template.yml:317-330

検出されたパターン

sqlmap table and credential dumpingsqlmap server file read and file writesqlmap OS shell and SQL shell optionsWAF bypass and Tor optionsRemote script execution in CI template
監査者: codex 監査履歴を表示 →

品質スコア

55
アーキテクチャ
100
保守性
87
コンテンツ
70
コミュニティ
0
セキュリティ
91
仕様準拠

作れるもの

承認済みペネトレーションテスト

スコープ設定されたsqlmap評価を構成し、インジェクションポイントを検証し、修復ガイダンスとともにデータベース露出を文書化します。

開発者による脆弱性検証

制御された環境で報告済みのSQLインジェクション問題を再現し、修正によって悪用がブロックされることを確認します。

監査証跡の準備

承認済みWebアプリケーション評価のために、簡潔な証跡、影響説明、コントロールマッピングを準備します。

これらのプロンプトを試す

基本チェックを計画する 
スコープ内URL 1件に対する承認済みsqlmapチェックの計画を手伝ってください。承認、安全なテスト設定、収集すべき証跡、レポート作成メモを含めてください。
Request Fileをレビューする 
スコープ内SQLインジェクションテストのために取得したこのHTTPリクエストをレビューしてください。可能性の高いパラメータ、安全なsqlmapオプション、データ取り扱い上の注意点を特定してください。
検出事項を検証する 
疑わしいSQLインジェクションを検証する承認を得ています。不要な機密データをダンプせずに影響を確認する、最小限のsqlmapワークフローを作成してください。
評価レポートを準備する 
これらの承認済みsqlmap結果を、影響、証跡の要約、CWEとOWASPのマッピング、リスク評価、修復手順を含む専門的な検出事項に変換してください。

ベストプラクティス

  • sqlmapを実行する前に、書面による承認、スコープ、テスト時間帯、データ取り扱いルールを確認します。
  • 低影響の検出から開始し、エンゲージメントルールで許可されている場合にのみリスクを高めます。
  • 要約された証跡を報告し、すべての成果物から機密値を編集またはマスクします。

回避

  • 明示的な書面による許可なしに、公開ターゲットまたは第三者のターゲットをテストする。
  • より小さい影響証明で十分な場合に、データベース全体をダンプする。
  • 明確に承認された目的の範囲外で、WAF bypass、shell、file-writeオプションを使用する。

よくある質問

このスキルは本番システムに対して安全ですか?
書面による承認と承認済みテスト時間帯がある場合にのみ使用してください。一部のsqlmapオプションは、サービスを中断させたり機密データを露出させたりする可能性があります。
sqlmapを自動的に実行しますか?
いいえ。ガイダンスとコマンド計画を提供します。実行、スコープ、承認についてはユーザーが責任を負います。
修復計画の作成に役立ちますか?
はい。パラメーター化クエリ、最小権限、より安全なエラー処理、監視などの防御的ガイダンスを含みます。
認証付きテストをサポートしていますか?
はい。このスキルでは、承認済みの認証付きテスト向けにcookies、headers、request files、credentialsについて扱います。
マーケットプレイスのリスクが高いのはなぜですか?
このスキルには、明示的な悪用ワークフロー、データダンプ、サーバーファイルアクセス、shellアクセス、WAF回避ガイダンスが含まれています。
Claude、Codex、Claude Codeで使用できますか?
はい。このスキルはマーケットプレイスメタデータでClaude、Codex、Claude Codeのサポートを宣言しています。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/offsec/webapp-sqlmap

参照

main

ファイル構成

📁 assets/

📄 ci-config-template.yml

📄 rule-template.yaml

📁 references/

📄 EXAMPLE.md

📄 WORKFLOW_CHECKLIST.md

📄 SKILL.md