laravel-security-audit
보안 취약점 감사를 위한 Laravel 앱 분석
Laravel 개발자는 애플리케이션이 보안 모범 사례를 따르는지 확인해야 합니다. 이 스킬은 OWASP 표준과 Laravel 보안 지식을 활용한 종합적인 보안 감사를 제공합니다.
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“laravel-security-audit”。 ID로 사용자 게시물을 가져오는 Laravel 컨트롤러 검토
预期结果:
- Issue: Missing Authorization Check
- Risk: High
- Problem: 컨트롤러가 소유권이나 사용자 권한을 확인하지 않고 ID로 게시물을 가져옵니다.
- Exploit: 인증된 사용자가 ID 매개변수를 변경하여 다른 사용자의 게시물에 접근할 수 있습니다.
- Fix: 정책 검사를 추가하거나 인증된 사용자의 게시물로 쿼리를 범위 지정하세요.
- Example: Post::where('user_id', auth()->id())->findOrFail($id)
正在使用“laravel-security-audit”。 파일 업로드 검증 로직 검토
预期结果:
- Issue: Insufficient File Type Validation
- Risk: Medium
- Problem: 파일 확장자만 확인하고 MIME 유형 검증이 누락되었습니다.
- Exploit: 공격자가 이미지로 위장한 PHP 파일을 업로드할 수 있습니다.
- Fix: Laravel의 mimeTypes 검증 규칙을 사용하고 공개 디렉토리 외부에 저장하세요.
- Example: $request->file('avatar')->validate(['mimes:jpg,png', 'max:2048'])
安全审计
安全All static analysis findings are false positives. This is an educational/documentation skill containing prompt instructions for security auditing, not executable code. The detected patterns (external_commands, network, env_access) are references to security concepts being taught, not actual vulnerable code. No security risks identified.
质量评分
你能构建什么
배포 전 보안 검토
프로덕션 배포 전에 Laravel 애플리케이션 코드를 검토하여 보안 취약점을 식별합니다.
코드 리뷰 지원
보안 분석을 풀 요청 리뷰에 통합하여 조기에 취약점을 발견합니다.
레거시 코드 감사
기존 Laravel 애플리케이션에 대한 보안 부채 및 잘못된 구성을 평가합니다.
试试这些提示
이 Laravel 컨트롤러를 보안 취약점 대해 검토하세요. 적절한 권한 부여, 입력 검증 및 일반적인 OWASP 문제를 확인하세요.
이 Laravel 애플리케이션에 대한 종합적인 보안 감사를 수행하세요. 인증, 권한 부여, 입력 검증, 데이터베이스 쿼리, 파일 업로드 및 API 보안을 분석하세요. 각 발견 사항을 위험 수준별로 분류하세요.
이 Laravel 애플리케이션의 인증 구현을 감사하세요. 비밀번호 해싱, 세션 관리, 토큰 처리 및 Sanctum/JWT 구성의 보안 문제를 확인하세요.
이 Laravel 애플리케이션의 API 엔드포인트를 보안 취약점에 대해 평가하세요.速率 제한, 권한 부여, 입력 검증, 응답 정제 및 일괄 할당 보호를 확인하세요.
最佳实践
- 입력 검증 및 권한 부여에는 항상 FormRequest 클래스를 사용하세요
- 데이터베이스 및 파일 시스템 접근에 최소 권한 원칙을 적용하세요
- 모든 공개 API 엔드포인트에서速率 제한을 활성화하여 남용을 방지하세요
避免
- 생성 또는 업데이트 작업에서 검증 없이 request()->all() 사용
- 정책 적용 없이 컨트롤러에서만 권한 부여 확인
- 검증 없이 공개적으로 접근 가능한 디렉토리에 업로드된 파일 저장