스킬 html-injection-testing
🛡️
html-injection-testing
낮은 위험 ⚡
스크립트 포함⚙️
외부 명령어🌐
네트워크 접근
HTML 주입 취약점 테스트
웹 애플리케이션은 종종 사용자 입력을 제대로 살균하지 않아 공격자가 악성 HTML 콘텐츠를 주입할 수 있습니다. 이 스킬은 인정된 보안 테스트를 통해 HTML 주입 결함을 식별하기 위한 종합적인 방법론을 제공합니다.
지원: Claude Codex Code(CC)
1
스킬 ZIP 다운로드
2
Claude에서 업로드
설정 → 기능 → 스킬 → 스킬 업로드로 이동
3
토글을 켜고 사용 시작
테스트해 보기
"html-injection-testing" 사용 중입니다. HTML 주입에 대한 검색 매개변수 테스트
예상 결과:
- 1단계: /search?q= 매개변수에서 주입 지점 식별됨
- 2단계: 기본 페이로드 테스트 결과: <h1>Test</h1>가 제목으로 렌더링됨 - 취약
- 3단계: 저장형 주입 확인됨 - 페이로드가 페이지 새로고침 후에도 지속됨
- 권장 사항: htmlspecialchars() 또는 DOMPurify를 사용한 출력 인코딩 구현
"html-injection-testing" 사용 중입니다. HTML 주입 위험을 시연할 수 있는 피싱 페이로드有哪些?
예상 결과:
- 시연 페이로드: 자격 증명을 캡처하는 오버레이 폼
- 영향: 공격자가 가짜 로그인 폼을 통해 사용자 자격 증명을 수집할 수 있음
- 심각도: 인증 값에 따라 중간부터 높음
- 권장 사항: 엄격한 입력 검증 및 CSP 헤더
보안 감사
낮은 위험v1 • 2/25/2026
This is a legitimate educational security testing skill for authorized HTML injection vulnerability assessment. Static findings are false positives or expected content for security education. The skill teaches penetration testing methodologies for identifying and reporting HTML injection flaws in web applications. All examples are clearly educational and the skill includes proper remediation guidance.
1
스캔된 파일
504
분석된 줄 수
7
발견 사항
1
총 감사 수
중간 위험 문제 (2)
innerHTML Assignment Examples
The skill contains examples of vulnerable innerHTML usage at lines 429 and 433. These are part of the 'Prevention and Remediation' section showing what NOT to do - they are educational examples of vulnerable patterns, not actual vulnerabilities in the skill itself.
External Command Execution in Examples
The skill contains curl command examples for testing. These are standard security testing tools used for authorized vulnerability assessment. All examples target 'target.com' which is a placeholder domain, not real systems.
낮은 위험 문제 (2)
Hardcoded URLs in Examples
Examples contain URLs to 'attacker.com' and similar domains. These are standard educational placeholders used in security training. No actual malicious infrastructure is referenced.
Encoding and Obfuscation Techniques
The skill documents bypass techniques using various encoding methods (URL, HTML entities, Unicode). This is standard educational content for understanding filter evasion in security testing.
위험 요인
⚡ 스크립트 포함 (2)
⚙️ 외부 명령어 (60)
SKILL.md:44-57 SKILL.md:57-74 SKILL.md:74-85 SKILL.md:85-88 SKILL.md:88-99 SKILL.md:99-105 SKILL.md:105-125 SKILL.md:125-128 SKILL.md:128-137 SKILL.md:137-145 SKILL.md:145-160 SKILL.md:160-166 SKILL.md:166-172 SKILL.md:172-178 SKILL.md:178-186 SKILL.md:186-192 SKILL.md:192-198 SKILL.md:198-204 SKILL.md:204-228 SKILL.md:228-231 SKILL.md:231-233 SKILL.md:233-239 SKILL.md:239-261 SKILL.md:261-267 SKILL.md:267-277 SKILL.md:277-281 SKILL.md:281-287 SKILL.md:287-291 SKILL.md:291-298 SKILL.md:298-302 SKILL.md:302-308 SKILL.md:308-314 SKILL.md:314-339 SKILL.md:339-345 SKILL.md:345-353 SKILL.md:353-357 SKILL.md:357-362 SKILL.md:362-366 SKILL.md:366-397 SKILL.md:397-403 SKILL.md:403-412 SKILL.md:412-414 SKILL.md:414-422 SKILL.md:422-424 SKILL.md:424-434 SKILL.md:434-448 SKILL.md:448-449 SKILL.md:449-450 SKILL.md:450-451 SKILL.md:451-452 SKILL.md:452-453 SKILL.md:453-459 SKILL.md:459-469 SKILL.md:469 SKILL.md:469-470 SKILL.md:470 SKILL.md:470-471 SKILL.md:471 SKILL.md:471-472 SKILL.md:472
🌐 네트워크 접근 (30)
SKILL.md:390 SKILL.md:119 SKILL.md:120 SKILL.md:123 SKILL.md:130 SKILL.md:133 SKILL.md:136 SKILL.md:150 SKILL.md:155 SKILL.md:168 SKILL.md:168 SKILL.md:171 SKILL.md:181 SKILL.md:185 SKILL.md:194 SKILL.md:197 SKILL.md:210 SKILL.md:221 SKILL.md:223 SKILL.md:232 SKILL.md:254 SKILL.md:270 SKILL.md:276 SKILL.md:283 SKILL.md:293 SKILL.md:304 SKILL.md:307 SKILL.md:371 SKILL.md:379 SKILL.md:382
감지된 패턴
False Positive: Windows SAM Database DetectionEducational Code Examples
감사자: claude
품질 점수
38
아키텍처
100
유지보수성
87
콘텐츠
21
커뮤니티
76
보안
96
사양 준수
만들 수 있는 것
클라이언트 웹 애플리케이션을 평가하는 보안 컨설턴트
고객을 위한 인정된 보안 평가를 수행하는 침투 테스터가 웹 애플리케이션의 HTML 주입 취약점을 식별하고 수정 단계를 포함한 종합 보고서를 제공해야 합니다.
웹 보안을 배우는 개발자
웹 개발자가 더 안전한 코드를 작성하고 애플리케이션에서 사용자 입력을 적절하게 검증하기 위해 HTML 주입 취약점을 이해하고 싶어합니다.
입력 처리를 테스트하는 QA 엔지니어
QA 엔지니어는 애플리케이션의 입력 처리가 HTML 콘텐츠를 적절하게 살균하고 주입 공격을 방지하는지 확인해야 합니다.
이 프롬프트를 사용해 보세요
기본 HTML 주입 테스트
html-injection-testing 스킬을 사용하여 우리 애플리케이션의 검색 기능이 HTML 주입에 취약한지 테스트하도록 도와주세요. 검색 매개변수는 'q'이고 URL은 http://example.com/search입니다.
저장형 주입 평가
html-injection-testing 스킬을 사용하여 사용자 프로필-bio 필드에서 저장형 HTML 주입을 테스트하도록 도와주세요. 어떤 테스트 페이로드を使用해야 하며 주입이 저장되는지 어떻게 확인하나요?
필터 우회 테스트
우리 애플리케이션은 HTML 태그를 필터링한다고 주장합니다. html-injection-testing 스킬을 사용하여 어떤 인코딩 및 우회 기법을 테스트해야 필터가 우회될 수 있는지 확인하시겠습니까?
수정 검증
입력 살균을 구현한 후, html-injection-testing 스킬을 사용하여 수정이 효과적이고 더 이상 HTML 주입 벡터가 없는지 어떻게 확인할 수 있나요?
모범 사례
- 모든 웹 애플리케이션 테스트 전에 항상 서면 승인을 받으세요
- 개념 증명 스크린샷 및 요청/응답 쌍으로 모든 발견 사항을 문서화하세요
- GET 및 POST 매개변수, 숨겨진 필드 및 쿠키를 포함한 테스트를 수행하세요
- 개발자가 문제를 수정할 수 있도록 보고서에 수정 안내를 포함하세요
피하기
- 명시적인 승인 없이 프로덕션 시스템 테스트
- 발견된 취약점을 사용하여 데이터에 액세스하거나 유출
- 수동 확인 없이 자동화된 도구에만 집중
- 명확한 재현 단계 없이 발견 사항 보고
자주 묻는 질문
HTML 주입과 XSS의 차이점은 무엇인가요?
HTML 주입은 공격자가 웹 페이지에 악성 HTML 콘텐츠를 주입할 수 있게 해주며, 이는 페이지 모양에만 영향을 줍니다. XSS(교차 사이트 스크립팅)는 JavaScript 코드 실행을 허용하여 쿠키, 세션 토큰을 도용하거나 사용자를 대신하여 작업을 수행할 수 있어 더 심각합니다.
HTML 주입으로 계정 침해가 발생할 수 있나요?
네, 피싱 공격을 통해 가능합니다. 공격자가 합법적으로 보이는 가짜 로그인 폼을 주입하여 사용자가 제출할 때 자격 증명을 캡처할 수 있습니다.
HTML 주입 테스트에 권장되는 도구는 무엇인가요?
Burp Suite, OWASP ZAP 및 curl을 사용한 수동 테스트가 주요 도구입니다. 자동화된 스캐너는 기본 주입 지점을 찾을 수 있지만 복잡한 시나리오에는 수동 테스트가 필요합니다.
웹 애플리케이션에서 HTML 주입을 방지하려면 어떻게 해야 하나요?
출력 인코딩(PHP의 htmlspecialchars, Python의 escape), Content Security Policy 헤더 구현, 허용 목록에 대한 입력 검증, 기본적으로 자동 이스케이프하는 최신 프레임워크를 사용하세요.
localhost에서 테스트하는 것은 윤리적으로 허용되나요?
자신의 시스템이나 소유한 시스템에서 테스트하는 것은 일반적으로 허용됩니다. 소유하지 않은 시스템에 대해서는 항상 명시적인 서면 승인이 있는지 확인하세요.
HTML 주입의 일반적인 심각도는 무엇인가요?
HTML 주입은 JavaScript를 직접 실행할 수 없으므로 일반적으로 중간 심각도입니다. 그러나 피싱이나 웹사이트 변조와 결합되면 사용자 인증이 있는 사이트에서 특히 영향이 클 수 있습니다.