laravel-security-audit
Laravel アプリケーションのセキュリティ脆弱性を監査
Laravel 開発者はアプリケーションがセキュリティベストプラクティスに従っていることを確認する必要があります。このスキルは、OWASP 標準と Laravel 固有のセキュリティ知識を使用した包括的なセキュリティ監査を提供します。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“laravel-security-audit”。 ID によってユーザーポストを取得する Laravel コントローラーをレビュー
预期结果:
- 問題:認可チェックの欠如
- リスク:高
- 問題:コントローラーは所有権やユーザー権限を検証せずに ID でポストを取得しています。
- 悪用:認証済みユーザーが ID パラメーターを変更することで、他のユーザーのポストにアクセスできます。
- 対策:ポリシーチェックを追加するか、クエリを認証済みユーザーのポストにスコープします。
- 例:Post::where('user_id', auth()->id())->findOrFail($id)
正在使用“laravel-security-audit”。 ファイルアップロードのバリデーションロジックをレビュー
预期结果:
- 問題:不十分なファイルタイプ検証
- リスク:中
- 問題:ファイル拡張子のみをチェックしており、MIME タイプ検証が欠落しています。
- 悪用:攻撃者は画像になりすました PHP ファイルをアップロードできます。
- 対策:Laravel の mimeTypes バリデーションルールを使用し、public ディレクトリ外に保存します。
- 例:$request->file('avatar')->validate(['mimes:jpg,png', 'max:2048'])
安全审计
安全All static analysis findings are false positives. This is an educational/documentation skill containing prompt instructions for security auditing, not executable code. The detected patterns (external_commands, network, env_access) are references to security concepts being taught, not actual vulnerable code. No security risks identified.
质量评分
你能构建什么
デプロイ前のセキュリティレビュー
本番環境にデプロイする前に Laravel アプリケーションのコードをレビューし、セキュリティ脆弱性を特定します。
コードレビュー支援
プルリクエストレビューにセキュリティ分析を組み込み、脆弱性を早期に発見します。
レガシーコード監査
既存の Laravel アプリケーションを評価し、セキュリティ負債と設定ミスを特定します。
试试这些提示
この Laravel コントローラーをセキュリティ脆弱性についてレビューしてください。適切な認可、入力値検証、一般的な OWASP 問題を確認します。
この Laravel アプリケーションの包括的なセキュリティ監査を実行してください。認証、認可、入力値検証、データベースクエリ、ファイルアップロード、API セキュリティを分析します。各発見事項をリスクレベルで分類してください。
この Laravel アプリケーションの認証実装を監査してください。パスワードハッシュ化、セッション管理、トークン処理、Sanctum/JWT 設定のセキュリティ問題を確認します。
この Laravel アプリケーションの API エンドポイントをセキュリティ脆弱性について評価してください。レート制限、認可、入力値検証、レスポンスのサニタイズ、mass assignment 保護を確認します。
最佳实践
- 入力値検証と認可には常に FormRequest クラスを使用する
- データベースとファイルシステムアクセスには最小権限の原則を適用する
- 乱用を防ぐため、すべての公開 API エンドポイントでレート制限を有効にする
避免
- create または update 操作でバリデーションなしに request()->all() を使用する
- コントローラーでのみ認可をチェックし、ポリシー強制を実装しない
- アップロードされたファイルをバリデーションなしに公開アクセス可能なディレクトリに保存する