技能 html-injection-testing
🛡️
html-injection-testing
低风险 ⚡
包含脚本⚙️
外部命令🌐
网络访问
HTMLインジェクション脆弱性のテスト
Webアプリケーションは、ユーザー入力を適切にサニタイズできないことが多く、攻撃者が悪意のあるHTMLコンテンツを注入することを可能にしています。このスキルは、認可されたセキュリティテストを通じてHTMLインジェクションの欠陥を特定するための包括的な手法を提供します。
支持: Claude Codex Code(CC)
1
下载技能 ZIP
2
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
3
开启并开始使用
测试它
正在使用“html-injection-testing”。 HTMLインジェクション用の検索パラメータをテストする
预期结果:
- フェーズ1:/search?q=パラメータでインジェクションポイントを特定しました
- フェーズ2:基本ペイロードテスト結果:<h1>Test</h1>が見出しとしてレンダリングされます - 脆弱性あり
- フェーズ3:保存型インジェクションが確認されました - ページの再読み込み後にペイロードが持続します
- 推奨事項:htmlspecialchars()またはDOMPurifyを使用して出力エンコーディングを実装してください
正在使用“html-injection-testing”。 HTMLインジェクションのリスクを実証できるフィッシングペイロードは何ですか?
预期结果:
- 実証ペイロード:資格情報をキャプチャするオーバーレイフォーム
- 影響:攻撃者は偽のログインフォームを通じてユーザーの資格情報を収集できます
- 重大度:認証の価値に応じて中から高
- 修復:厳格な入力検証とCSPヘッダー
安全审计
低风险v1 • 2/25/2026
This is a legitimate educational security testing skill for authorized HTML injection vulnerability assessment. Static findings are false positives or expected content for security education. The skill teaches penetration testing methodologies for identifying and reporting HTML injection flaws in web applications. All examples are clearly educational and the skill includes proper remediation guidance.
1
已扫描文件
504
分析行数
7
发现项
1
审计总数
中风险问题 (2)
innerHTML Assignment Examples
The skill contains examples of vulnerable innerHTML usage at lines 429 and 433. These are part of the 'Prevention and Remediation' section showing what NOT to do - they are educational examples of vulnerable patterns, not actual vulnerabilities in the skill itself.
External Command Execution in Examples
The skill contains curl command examples for testing. These are standard security testing tools used for authorized vulnerability assessment. All examples target 'target.com' which is a placeholder domain, not real systems.
低风险问题 (2)
Hardcoded URLs in Examples
Examples contain URLs to 'attacker.com' and similar domains. These are standard educational placeholders used in security training. No actual malicious infrastructure is referenced.
Encoding and Obfuscation Techniques
The skill documents bypass techniques using various encoding methods (URL, HTML entities, Unicode). This is standard educational content for understanding filter evasion in security testing.
风险因素
⚡ 包含脚本 (2)
⚙️ 外部命令 (60)
SKILL.md:44-57 SKILL.md:57-74 SKILL.md:74-85 SKILL.md:85-88 SKILL.md:88-99 SKILL.md:99-105 SKILL.md:105-125 SKILL.md:125-128 SKILL.md:128-137 SKILL.md:137-145 SKILL.md:145-160 SKILL.md:160-166 SKILL.md:166-172 SKILL.md:172-178 SKILL.md:178-186 SKILL.md:186-192 SKILL.md:192-198 SKILL.md:198-204 SKILL.md:204-228 SKILL.md:228-231 SKILL.md:231-233 SKILL.md:233-239 SKILL.md:239-261 SKILL.md:261-267 SKILL.md:267-277 SKILL.md:277-281 SKILL.md:281-287 SKILL.md:287-291 SKILL.md:291-298 SKILL.md:298-302 SKILL.md:302-308 SKILL.md:308-314 SKILL.md:314-339 SKILL.md:339-345 SKILL.md:345-353 SKILL.md:353-357 SKILL.md:357-362 SKILL.md:362-366 SKILL.md:366-397 SKILL.md:397-403 SKILL.md:403-412 SKILL.md:412-414 SKILL.md:414-422 SKILL.md:422-424 SKILL.md:424-434 SKILL.md:434-448 SKILL.md:448-449 SKILL.md:449-450 SKILL.md:450-451 SKILL.md:451-452 SKILL.md:452-453 SKILL.md:453-459 SKILL.md:459-469 SKILL.md:469 SKILL.md:469-470 SKILL.md:470 SKILL.md:470-471 SKILL.md:471 SKILL.md:471-472 SKILL.md:472
🌐 网络访问 (30)
SKILL.md:390 SKILL.md:119 SKILL.md:120 SKILL.md:123 SKILL.md:130 SKILL.md:133 SKILL.md:136 SKILL.md:150 SKILL.md:155 SKILL.md:168 SKILL.md:168 SKILL.md:171 SKILL.md:181 SKILL.md:185 SKILL.md:194 SKILL.md:197 SKILL.md:210 SKILL.md:221 SKILL.md:223 SKILL.md:232 SKILL.md:254 SKILL.md:270 SKILL.md:276 SKILL.md:283 SKILL.md:293 SKILL.md:304 SKILL.md:307 SKILL.md:371 SKILL.md:379 SKILL.md:382
检测到的模式
False Positive: Windows SAM Database DetectionEducational Code Examples
审计者: claude
质量评分
38
架构
100
可维护性
87
内容
50
社区
76
安全
96
规范符合性
你能构建什么
クライアントのWebアプリケーションを評価するセキュリティコンサルタント
クライアントのために認可されたセキュリティ評価を実施するペネトレーションテスターは、Webアプリケーション内のHTMLインジェクション脆弱性を特定し、修復手順を含む包括的なレポートを提供する必要があります。
Webセキュリティを学ぶ開発者
Web開発者は、より安全なコードを記述し、アプリケーションでユーザー入力を適切に検証するために、HTMLインジェクション脆弱性を理解したいと考えています。
入力処理をテス���するQAエンジニア
QAエンジニアは、アプリケーションの入力処理がHTMLコンテンツを適切にサニタイズし、インジェクション攻撃を防止することを確認する必要があります。
试试这些提示
基本的なHTMLインジェクションテスト
html-injection-testingスキルを使用して、アプリケーションの検索機能がHTMLインジェクションに対して脆弱かどうかをテストするのを手伝ってください。検索パラメータは'q'で、URLはhttp://example.com/searchです
保存型インジェクション評価
html-injection-testingスキルを使用して、ユーザープロフィールのバイオフィールドでの保存型HTMLインジェクションをテストするのを手伝ってください。どのテストペイロードを使用すべきで、インジェクションが保存されているかどうかを確認するにはどうすればよいですか?
フィルターバイパステスト
アプリケーションはHTMLタグをフィルターすると主張しています。html-injection-testingスキルを使用して、フィルターが回避できるかどうかを確認するために、どのエンコーディングとバイパス技術をテストすべきですか?
修復の確認
入力サニタイゼーションを実装した後、html-injection-testingスキルを使用して修復が有効であり、HTMLインジェクションベクトルが残っていないことを確認するにはどうすればよいですか?
最佳实践
- Webアプリケーションをテストする前に、必ず書面による許可を取得してください
- 概念実証のスクリーンショットとリクエスト/レスポンスのペアですべての調査結果を文書化してください
- 非表示フィールドやCookieを含むGETパラメータとPOSTパラメータの両方をテストしてください
- 開発者が問題を修正できるように、レポートに修復ガイダンスを含めてください
避免
- 明示的な許���なしに本番システムをテストする
- 発見された脆弱性を使用してデータにアクセスまたは外部持ち出しする
- 手動検証なしに自動ツールのみに集中する
- 明確な再現手順を提供せずに調査結果を報告する
常见问题
HTMLインジェクシ���ンとXSSの違いは何ですか?
HTMLインジェクションは攻撃者がWebページに悪意のあるHTMLコンテンツを注入することを可能にし、ページの外観のみに影響します。XSS(クロスサイトスクリプティング)はJavaScriptコードの実行を可能にし、クッキーやセッショントークンを盗んだり、ユーザーに代わってアクションを実行したりできるため、より深刻です。
HTMLインジェクションはアカウント侵害につながる可能性がありますか?
はい、フィッシング攻撃を通じて可能��す。攻撃者は正当に見える偽のログ��ンフォームを注入し、送信時にユーザーの資格情報をキャプチャすることができます。
HTMLインジェクションテストにはどのツールが推奨されますか?
Burp Suite、OWASP ZAP、curlを使用した手動テストが主要なツールです。自動スキャナーは基本的なインジェクションポイントを見つけることができますが、複雑なシナリオでは手動テストが必要です。
WebアプリケーションでHTMLインジェクションを防ぐにはどうすればよいですか?
出力エンコーディング(PHPではhtmlspecialchars、Pythonではescape)を使用し、コンテンツセキュリティポリシーヘッダーを実装し、許可リストに対して入力を検証し、��フォルトで自動エスケープを行う最新のフレームワークを使用してください。
localhostでのテストは倫理的と見なされますか?
独自のシステムまたは所有しているシステムでテストすることは一般的に受け入れられます。所有していないシステムについては、必ず明示的な書面による許可があることを確認してください。
HTMLインジェクションの典型的な重大度は何ですか?
HTMLインジェクションは通常、JavaScriptを直接実行できないため、中程度の重大度です。ただし、フィッシングや改ざんと組み合わされた場合、特にユーザー認証を持つサイトでは、影響が大きくなる可能性があります。