スキル laravel-security-audit
🛡️

laravel-security-audit

安全

Laravel アプリケーションのセキュリティ脆弱性を監査

Laravel 開発者はアプリケーションがセキュリティベストプラクティスに従っていることを確認する必要があります。このスキルは、OWASP 標準と Laravel 固有のセキュリティ知識を使用した包括的なセキュリティ監査を提供します。

対応: Claude Codex Code(CC)
🥉 72 ブロンズ
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「laravel-security-audit」を使用しています。 ID によってユーザーポストを取得する Laravel コントローラーをレビュー

期待される結果:

  • 問題:認可チェックの欠如
  • リスク:高
  • 問題:コントローラーは所有権やユーザー権限を検証せずに ID でポストを取得しています。
  • 悪用:認証済みユーザーが ID パラメーターを変更することで、他のユーザーのポストにアクセスできます。
  • 対策:ポリシーチェックを追加するか、クエリを認証済みユーザーのポストにスコープします。
  • 例:Post::where('user_id', auth()->id())->findOrFail($id)

「laravel-security-audit」を使用しています。 ファイルアップロードのバリデーションロジックをレビュー

期待される結果:

  • 問題:不十分なファイルタイプ検証
  • リスク:中
  • 問題:ファイル拡張子のみをチェックしており、MIME タイプ検証が欠落しています。
  • 悪用:攻撃者は画像になりすました PHP ファイルをアップロードできます。
  • 対策:Laravel の mimeTypes バリデーションルールを使用し、public ディレクトリ外に保存します。
  • 例:$request->file('avatar')->validate(['mimes:jpg,png', 'max:2048'])

セキュリティ監査

安全
v1 • 2/25/2026

All static analysis findings are false positives. This is an educational/documentation skill containing prompt instructions for security auditing, not executable code. The detected patterns (external_commands, network, env_access) are references to security concepts being taught, not actual vulnerable code. No security risks identified.

1
スキャンされたファイル
224
解析された行数
0
検出結果
1
総監査数
セキュリティ問題は見つかりませんでした
監査者: claude

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
34
コミュニティ
100
セキュリティ
91
仕様準拠

作れるもの

デプロイ前のセキュリティレビュー

本番環境にデプロイする前に Laravel アプリケーションのコードをレビューし、セキュリティ脆弱性を特定します。

コードレビュー支援

プルリクエストレビューにセキュリティ分析を組み込み、脆弱性を早期に発見します。

レガシーコード監査

既存の Laravel アプリケーションを評価し、セキュリティ負債と設定ミスを特定します。

これらのプロンプトを試す

基本的なセキュリティチェック 
この Laravel コントローラーをセキュリティ脆弱性についてレビューしてください。適切な認可、入力値検証、一般的な OWASP 問題を確認します。
フルアプリケーション監査 
この Laravel アプリケーションの包括的なセキュリティ監査を実行してください。認証、認可、入力値検証、データベースクエリ、ファイルアップロード、API セキュリティを分析します。各発見事項をリスクレベルで分類してください。
認証フローレビュー 
この Laravel アプリケーションの認証実装を監査してください。パスワードハッシュ化、セッション管理、トークン処理、Sanctum/JWT 設定のセキュリティ問題を確認します。
API セキュリティ評価 
この Laravel アプリケーションの API エンドポイントをセキュリティ脆弱性について評価してください。レート制限、認可、入力値検証、レスポンスのサニタイズ、mass assignment 保護を確認します。

ベストプラクティス

  • 入力値検証と認可には常に FormRequest クラスを使用する
  • データベースとファイルシステムアクセスには最小権限の原則を適用する
  • 乱用を防ぐため、すべての公開 API エンドポイントでレート制限を有効にする

回避

  • create または update 操作でバリデーションなしに request()->all() を使用する
  • コントローラーでのみ認可をチェックし、ポリシー強制を実装しない
  • アップロードされたファイルをバリデーションなしに公開アクセス可能なディレクトリに保存する

よくある質問

このスキルはどの Laravel バージョンをサポートしていますか?
このスキルは Laravel 10 および 11+ アプリケーション向けに設計されていますが、バージョン固有のセキュリティ機能の知識を使用して古いバージョンも監査できます。
このスキルはコードベース全体を自動的にスキャンできますか?
このスキルはユーザーが提供するコードファイルを分析します。大規模なコードベースの場合は、コントローラー、モデル、ミドルウェアなどの主要ファイルを提供して、焦点を絞ったセキュリティレビューを受けてください。
これはペネトレーションテストに代わりますか?
いいえ。このスキルは静的コード分析とセキュリティガイダンスを提供します。専門的なペネトレーションテストやダイナミックセキュリティスキャンを補完するものであり、代替するものではありません。
このスキルはどの OWASP カテゴリをカバーしていますか?
カバレッジには、インジェクション、認証の不備、機密データの露出、XML 外部エンティティ、アクセス制御の不備、セキュリティ設定ミス、XSS、安全でないデシリアライゼーション、既知の脆弱性が含まれます。
このスキルは脆弱性を自動的に修正できますか?
このスキルは脆弱性を特定し、安全なコードの例を提供します。推奨される修正をコードベースで手動でレビューし、実装する必要があります。
このスキルを使用すると、私のコードは共有または保存されますか?
コード分析はセッション内で行われます。ただし、コードスニペットに機密クレデンシャル、API キー、本番環境のシークレットを共有しないでください。

開発者の詳細

作成者

sickn33

ライセンス

MIT

リポジトリ

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/laravel-security-audit

参照

main

ファイル構成

📄 SKILL.md