スキル security-audit
🔒

security-audit

安全

包括的セキュリティ監査を実行

こちらからも入手できます: Joseph OBrien,Joseph OBrien,AppleLamps,ClementWalter,Consiliency

このワークフローバンドルは、複数のセキュリティスキルをオーケストレーションし、Web アプリケーションと API 全体で完全なペネトレーションテスト、脆弱性評価、セキュリティ強化を実施します。

対応: Claude Codex Code(CC)
📊 70 十分
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「security-audit」を使用しています。 REST API のセキュリティ監査を実行

期待される結果:

構造化されたワークフローに従って、REST API の包括的セキュリティ監査を実施します。

**Phase 1: 偵察**
- API エンドポイントと技術スタックを特定
- 公開サービスの情報を収集

**Phase 2: 脆弱性スキャン**
- 自動化脆弱性スキャナーを実行
- 静的解析を実施
- 依存関係の既知の脆弱性をスキャン

**Phase 4: API セキュリティテスト**
- すべての API エンドポイントを列挙
- 認証メカニズムをテスト
- レート制限の回避をテスト
- 入力検証とエラーハンドリングをテスト

特定のフェーズを実行しますか?

「security-audit」を使用しています。 SQL インジェクション脆弱性のテストを支援

期待される結果:

@sql-injection-testing スキルを使用して SQL インジェクションテストをガイドします。

**テスト手法:**
1. アプリケーション内のインジェクションポイントを特定
2. 手動技術を使用して SQL インジェクションをテスト
3. 自動化ツールを使用して脆弱性を列挙
4. 各発見事項の概念実証を文書化

特定のエンドポイントのテストを実行しますか?

セキュリティ監査

安全
v1 • 2/25/2026

All static findings are false positives. The 48 external_command detections are markdown code blocks using backticks for prompt examples, not actual shell execution. The Metasploit reference is a skill name to invoke, not tool execution. The weak crypto alerts are triggered by the word 'vulnerability' in context. This is a documentation-only workflow bundle with no executable code.

1
スキャンされたファイル
219
解析された行数
3
検出結果
1
総監査数
低リスクの問題 (3)
SKILL.md:32-217
False Positive: External Command Detection
Static scanner detected 48 instances of backtick usage as 'external commands'. These are markdown code block delimiters for example prompts, not actual Ruby/shell execution. No command injection risk exists.
SKILL.md:132
False Positive: Metasploit Framework Reference
Static scanner flagged 'Metasploit framework' as a blocker. This is a reference to an external skill name (@metasploit-framework) to invoke, not actual Metasploit tool usage.
SKILL.md:3SKILL.md:192
False Positive: Weak Cryptographic Algorithm
Static scanner flagged 'weak cryptographic algorithm' at lines 3 and 192. These are false positives triggered by the word 'vulnerability' in the description and 'Using Components with Known Vulnerabilities' from OWASP Top 10 checklist.
監査者: claude

品質スコア

38
アーキテクチャ
100
保守性
85
コンテンツ
33
コミュニティ
99
セキュリティ
83
仕様準拠

作れるもの

セキュリティコンサルタントがクライアント Web アプリを監査

業界標準の手法に従って、包括的セキュリティ評価を実施するために完全なワークフローを使用します。

開発者が自社アプリケーションを保護

本番デプロイ前にセキュリティ上の問題を発見して修正するために、脆弱性スキャンと強化フェーズを使用します。

DevSecOps チームが自動化スキャンを実行

継続的セキュリティ検証のために、CI/CD パイプラインにスキャンフェーズを統合します。

これらのプロンプトを試す

完全セキュリティ監査を開始 
@security-audit を使用して Web アプリケーションの包括的セキュリティ監査を実行します。偵察から始めて全フェーズを実行してください。
クイック脆弱性スキャン 
@security-audit を使用してアプリケーションの Phase 2 脆弱性スキャンを実行します。自動化スキャナーの結果に焦点を当ててください。
API セキュリティテスト 
@security-audit を使用して Phase 4 API セキュリティテストを実施します。認証、レート制限、入力検証をテストします。
セキュリティレポートを生成 
@security-audit Phase 7 レポーティングを使用して、すべての発見事項を文書化し、発見された脆弱性に対する修復計画を作成します。

ベストプラクティス

  • ターゲットのテスト前に常に書面による承認を取得する
  • 包括的なカバレッジのためにワークフローフェーズを順番に従う
  • すべての発見事項を概念実証の証拠とともに文書化する
  • 最小限のカバレッジ基準として OWASP Top 10 チェックリストを使用する

回避

  • 適切な承認なしにペネトレーションテストを実行する
  • 偵察をスキップして直接エクスプロイトに移行する
  • 手動検証なしに自動化スキャナーの発見事項を無視する
  • 再現可能な手順で発見事項を文書化しない

よくある質問

このスキルは実際にセキュリティスキャナーを実行しますか?
いいえ。これはガイダンスを提供し他のセキュリティスキルをオーケストレーションするワークフローバンドルです。実際のスキャンツールを実行しません。
他のスキルをインストールする必要がありますか?
はい。このワークフローは scanning-tools、vulnerability-scanner、pentest-commands などの他のスキルを参照します。完全な機能にはこれらが利用可能である必要があります。
このツールは任意の Web サイトで安全に使用できますか?
いいえ。所有するシステムまたは明示的な書面による承認を持つシステムにのみ使用してください。無許可のペネトレーションテストは違法です。
最終セキュリティレポートを生成できますか?
このワークフローには発見事項と修復手順を構造化する Phase 7 レポーティングが含まれます。最終レポート生成には手動での編集が必要です。
どの OWASP カテゴリがカバーされますか?
このワークフローは、インジェクション、認証の不備、機密データ露呈、XXE、アクセス制御の不備、セキュリティ設定の不備、XSS、安全でないデシリアライゼーション、脆弱なコンポーネント、不十分なロギングを含むすべての OWASP Top 10 カテゴリを網羅しています。
Claude Code と Codex で動作しますか?
はい。このスキルは supported_tools フィールドで指定されている通り、claude、codex、claude-code ツールに対応しています。

開発者の詳細

作成者

sickn33

ライセンス

MIT

リポジトリ

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security-audit

参照

main

ファイル構成

📄 SKILL.md