スキル web-security-testing
🛡️

web-security-testing

安全

Web アプリを OWASP Top 10 の脆弱性についてテストする

このワークフローは、偵察からレポート作成まで、OWASP Top 10 手法に従って Web アプリケーションの包括的なセキュリティテストを実施する手順を案内します。

対応: Claude Codex Code(CC)
⚠️ 68 貧弱
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「web-security-testing」を使用しています。 @web-security-testing を使用して https://example.com の Web アプリケーションをテストする

期待される結果:

  • フェーズ 1 を開始:偵察
  • - アプリケーションの表面をマッピング
  • - 使用されている技術を特定
  • - エンドポイントを発見
  • - サブドメインを特定
  • - 初期調査結果を文書化
  • フェーズ 2:インジェクションテストに進む準備完了

「web-security-testing」を使用しています。 @web-security-testing のフェーズ 3 です。検索機能で XSS をテストしてください。

期待される結果:

  • フェーズ 3:XSS テスト
  • テストベクトル:反射型、貯蔵型、DOM ベース
  • 実行するテストケース:
  • - <script>alert(1)</script>
  • - <img src=x onerror=alert(1)>
  • - <svg onload=alert(1)>
  • 概念証明とともにすべての成功したバイパスを文書化する

セキュリティ監査

安全
v1 • 2/25/2026

Static analysis flagged 33 potential issues (31 external_commands, 2 weak cryptographic algorithms). After evaluation, all findings are FALSE POSITIVES. The external_commands detections are markdown code formatting (backticks) used for skill references like @scanning-tools, not actual shell execution. The cryptographic flags are false positives from keywords in the OWASP checklist. This is a legitimate security testing workflow with no malicious code.

1
スキャンされたファイル
185
解析された行数
2
検出結果
1
総監査数

高リスクの問題 (1)

SKILL.md:3SKILL.md:164
Weak Cryptographic Algorithm Detection
Scanner flagged lines 3 and 164 for weak cryptographic algorithm. Line 3 is YAML frontmatter description. Line 164 is OWASP category 'A04: Insecure Design'. No cryptographic code present.
中リスクの問題 (1)
SKILL.md:31-32SKILL.md:42-44SKILL.md:49-50SKILL.md:60-66SKILL.md:71-72SKILL.md:82-84SKILL.md:89-101SKILL.md:106-107SKILL.md:117-123SKILL.md:128-140SKILL.md:145-157SKILL.md:182-183
External Commands Detection
Scanner flagged 31 instances of 'Ruby/shell backtick execution' at various lines. These are markdown inline code formatting (backticks) used for skill references like `@scanning-tools`, not shell commands.
監査者: claude

品質スコア

38
アーキテクチャ
100
保守性
85
コンテンツ
32
コミュニティ
90
セキュリティ
83
仕様準拠

作れるもの

包括的なセキュリティ評価

詳細なフェーズごとのテストで、構造化された OWASP Top 10 手法に従って Web アプリケーションの完全なセキュリティ監査を実施する。

バグバウンティ偵察

バグバウンティハンティングでこのワークフローを使用し、対象アプリケーションの脆弱性を体系的かつ構造化された方法でテストする。

セキュリティ検証

本番デプロイ前に Web アプリケーションのセキュリティコントロールが適切に実装されていることを検証する。

これらのプロンプトを試す

セキュリティテストを開始 
@web-security-testing を使用して、Web アプリケーションのセキュリティ脆弱性をテストします。ターゲット:[URL]
インジェクションをテスト 
@web-security-testing のフェーズ 2 です。[URL] のログインフォームの [param] パラメータで SQL インジェクションをテストしてください
XSS 評価 
@web-security-testing のフェーズ 3 に従って、[URL] のコメントセクションで XSS 脆弱性をテストしてください
完全なセキュリティレポート 
@web-security-testing のすべてのフェーズを完了しました。発見事項と修復手順を要約したセキュリティレポートを生成してください。

ベストプラクティス

  • アプリケーションをテストする前に常に適切な認可を取得する
  • 包括的なカバレッジのためにワークフローのフェーズを順番に従う
  • 各脆弱性の概念証明とともにすべての発見事項を文書化する
  • 各フェーズの専門的なテストには参照されたスキルを呼び出す

回避

  • フェーズをスキップする - 各フェーズは以前の偵察に基づいて構築される
  • 認可なく本番環境でテストする
  • 再現手順とともに発見事項を文書化しない
  • 適切なリスク評価なしに低重大度の発見事項を無視する

よくある質問

このスキルは実際のエクスプロイトを実行しますか?
いいえ。これはテスト手法とプロンプトを提供するワークフローガイダンススキルです。エクスプロイトの実行やツールの直接実行は行いません。
このワークフローを使用するには他のスキルが必要ですか?
はい。このワークフローは、特定のテストフェーズのために @scanning-tools、@sql-injection-testing、@xss-html-injection、@broken-authentication などの他のスキルを参照します。
これは本番環境のテストに適していますか?
適切な書面による認可がある場合にのみ可能です。Web アプリケーションをテストする前に常に明示的な許可があることを確認してください。
どの OWASP カテゴリが対象ですか?
インジェクション、認証の不備、機微なデータの漏洩、XML 外部エンティティ、アクセス制御の不備、セキュリティの設定ミス、クロスサイトスクリプティング、安全でないデシリアライゼーション、脆弱なコンポーネントの使用、不十分なロギングを含む OWASP Top 10 2021 のすべてのカテゴリが対象です。
このワークフローをカスタマイズできますか?
はい。ワークフローのフェーズは、対象アプリケーションとスコープに応じて適応できます。評価の必要に応じてフェーズを追加または変更してください。
レポートにはどの出力フォーマットを使用すべきですか?
脆弱性を重大度、概念証明、修復手順とともに文書化するように、レポートフェーズのガイダンスに従ってください。業界標準のフォーマットを使用してください。

開発者の詳細

作成者

sickn33

ライセンス

MIT

リポジトリ

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/web-security-testing

参照

main

ファイル構成

📄 SKILL.md