Top 100 Web Vulnerabilities Reference
OWASPリファレンスでWeb脆弱性評価をマスター
セキュリティ専門家は、Webアプリケーションの脆弱性の全範囲を把握することに苦労しています。この包括的なリファレンスは、明確な定義、根本原因、実行可能な緩和策を含む100のカテゴリ別脆弱性を提供します。
スキルZIPをダウンロード
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロードへ移動
オンにして利用開始
テストする
「Top 100 Web Vulnerabilities Reference」を使用しています。 サーバーサイドリクエストフォージェリとは何ですか?また、どのようにテストしますか?
期待される結果:
SSRFは攻撃者がサーバーから内部リソースへのリクエストを行うことを可能にします。テスト方法: (1) URLパラメータを特定する、(2) 内部IPアドレスを試行する(127.0.0.1、クラウドメタデータ用の169.254.169.254)、(3) アウトオブバンドDNSコールバックを使用して確認する。URL許可リスト、エグレスフィルタリング、ネットワークセグメンテーションで緩和する。
「Top 100 Web Vulnerabilities Reference」を使用しています。 認証脆弱性のテスト用チェックリストをください。
期待される結果:
認証テストチェックリスト: [ ] セッション固定 - ログイン時のセッションID再生成をチェック、[ ] 総当たり - アカウントロックアウトとレート制限をテスト、[ ] クレデンシャルスタッフィング - 漏洩パスワード検証を検証、[ ] セッションハ��ジャック - トークンのランダム性とHTTPS強制を検証、[ ] ログイン維持トークン - 予測可能性と有効期限を評価、[ ] CAPTCHAバイパス - 自動送信抵抗をテスト
セキュリティ監査
安全This skill is purely educational documentation about web security vulnerabilities. All 32 static analysis findings are false positives - the detected patterns appear in markdown code blocks and vulnerability descriptions, not executable code. The file contains no actual security risks and is safe for publication.
品質スコア
作れるもの
セキュリティ評価計画
脆弱性リファレンスを使用して、Webアプリケーションセキュリティ評価のための包括的なテストチェックリストを構築し、すべての主要な脆弱性カテゴリをカバーします。
開発者セキュリティトレーニング
開発チームに一般的な脆弱性パターン、その根本原因、開発中のセキュリティ欠陥を防ぐための安全なコーディングプラクティスを教育します。
インシデントレスポンス分析
セキュリティインシデントの調査中に脆弱性の定義と攻撃ベクトルを参照し、潜在的なエクスプロイト手法と範囲を理解します。
これらのプロンプトを試す
SQLインジェクション脆弱性について、定義、根本原因、典型的な影響、推奨される緩和策を含めて説明してください。攻撃がどのように機能するかの簡単な例を提供してください。
XSS、CSRF、クリックジャッキング攻撃を比較対照してください。それぞれがどのように機能するか、何がそれらを異なるものにするか、そしてそれぞれを防ぐ特定の防御策について説明してください。
APIセキュリティ評価のための包括的な脆弱性テストチェックリストを作成してください。認証の欠陥、インジェクション脆弱性、レート制限、データ公開リスクのテストケースを含めてください。
リファレンスからすべての認証関連の脆弱性をOWASP Top 10 2021のカテゴリにマッピングしてください。各マッピングについて、関係性を説明し、カバレッジのギャップを特定してください。
ベストプラクティス
- 脆弱性の発見は常に手動で検証する - 自動スキャナーは誤検知を生成する
- 緩和推奨事項を特定の技術スタックとアーキテクチャに合わせて調整する
- OWASPマッピングを使用して、業界で認識されたリスクランキングに基づいて修復の優先順位を決める
回避
- 根本的な原因を理解せずに緩和策を適用する
- ���動検証なしで自動スキャンのみに依存する
- アプリケーションのエンドポイント間でセキュリティコントロールを一貫性なく実装する