스킬 security-audit
🔒

security-audit

안전

포괄적 보안 감사 실행

또한 다음에서 사용할 수 있습니다: Joseph OBrien,Joseph OBrien,AppleLamps,ClementWalter,Consiliency

이 워크플로 번들은 다양한 보안 스킬을 오케스트레이션하여 웹 애플리케이션 및 API에 대한 전체 침투 테스트, 취약점 평가 및 보안 강화 작업을 수행합니다.

지원: Claude Codex Code(CC)
📊 70 적절함
1

스킬 ZIP 다운로드

2

Claude에서 업로드

설정 → 기능 → 스킬 → 스킬 업로드로 이동

3

토글을 켜고 사용 시작

테스트해 보기

"security-audit" 사용 중입니다. REST API에서 보안 감사를 실행하세요

예상 결과:

구조화된 워크플로에 따라 REST API의 포괄적인 보안 감사를 수행하겠습니다.

**1단계: 정찰**
- API 엔드포인트 및 기술 스택 식별
- 노출된 서비스에 대한 정보 수집

**2단계: 취약점 스캔**
- 자동화된 취약점 스캐너 실행
- 정적 분석 수행
- 알려진 취약점에 대한 의존성 스캔

**4단계: API 보안 테스트**
- 모든 API 엔드포인트 열거
- 인증 메커니즘 테스트
- 속도 제한 우회 테스트
- 입력 검증 및 오류 처리 테스트

특정 단계로 진행할까요?

"security-audit" 사용 중입니다. SQL 주입 취약점 테스트를 도와주세요

예상 결과:

@sql-injection-testing 스킬을 사용하여 SQL 주입 테스트를 안내하겠습니다.

**테스트 접근법:**
1. 애플리케이션에서 주입 지점 식별
2. 수동 기법을 사용하여 SQL 주입 테스트
3. 자동화된 도구를 사용하여 취약점 열거
4. 각 발견 사항에 대한 개념 증명 문서화

특정 엔드포인트에서 테스트를 진행할까요?

보안 감사

안전
v1 • 2/25/2026

All static findings are false positives. The 48 external_command detections are markdown code blocks using backticks for prompt examples, not actual shell execution. The Metasploit reference is a skill name to invoke, not tool execution. The weak crypto alerts are triggered by the word 'vulnerability' in context. This is a documentation-only workflow bundle with no executable code.

1
스캔된 파일
219
분석된 줄 수
3
발견 사항
1
총 감사 수
낮은 위험 문제 (3)
SKILL.md:32-217
False Positive: External Command Detection
Static scanner detected 48 instances of backtick usage as 'external commands'. These are markdown code block delimiters for example prompts, not actual Ruby/shell execution. No command injection risk exists.
SKILL.md:132
False Positive: Metasploit Framework Reference
Static scanner flagged 'Metasploit framework' as a blocker. This is a reference to an external skill name (@metasploit-framework) to invoke, not actual Metasploit tool usage.
SKILL.md:3SKILL.md:192
False Positive: Weak Cryptographic Algorithm
Static scanner flagged 'weak cryptographic algorithm' at lines 3 and 192. These are false positives triggered by the word 'vulnerability' in the description and 'Using Components with Known Vulnerabilities' from OWASP Top 10 checklist.
감사자: claude

품질 점수

38
아키텍처
100
유지보수성
85
콘텐츠
33
커뮤니티
99
보안
83
사양 준수

만들 수 있는 것

보안 컨설턴트가 고객 웹 앱 감사

산업표준 방법론에 따라 종합적인 보안 평가를 수행하기 위해 전체 워크플로를 사용하세요.

개발자가 자체 애플리케이션 보호

취약점 스캔 및 강화 단계를 사용하여 프로덕션 배포 전에 보안 문제를 찾고 수정하세요.

DevSecOps 팀이 자동화된 스캔 실행

CI/CD 파이프라인에 스캔 단계를 통합하여 지속적인 보안 검증을 수행하세요.

이 프롬프트를 사용해 보세요

전체 보안 감사 시작 
@security-audit를 사용하여 내 웹 애플리케이션에서 포괄적인 보안 감사를 실행하세요. 정찰부터 시작하여 모든 단계를 진행하세요.
빠른 취약점 스캔 
@security-audit를 사용하여 내 애플리케이션에서 2단계 취약점 스캔을 수행하세요. 자동화된 스캐너 결과에 집중하세요.
API 보안 테스트 
@security-audit를 사용하여 4단계 API 보안 테스트를 수행하세요. 인증, 속도 제한 및 입력 검증을 테스트하세요.
보안 보고서 생성 
@security-audit 7단계 보고서를 사용하여 모든 발견 사항을 문서화하고 발견된 취약점에 대한 수정 계획을 작성하세요.

모범 사례

  • 모든 대상 테스트 전에 서면 승인을 항상 얻으세요
  • 포괄적인 커버리지를 위해 워크플로 단계를 순서대로 따르세요
  • 개념 증명 증거와 함께 모든 발견 사항을 문서화하세요
  • OWASP Top 10 체크리스트를 최소 커버리지 기준선으로 사용하세요

피하기

  • 적절한 승인 없이 침투 테스트 실행
  • 정찰을 건너뛰고 직접 착각으로 점프
  • 수동 검증 없이 자동화된 스캐너의 발견 사항 무시
  • 재현 가능한 단계로 발견 사항을 문서화하지 않음

자주 묻는 질문

이 스킬이 실제 보안 스캐너를 실행하나요?
아니요. 이것은 지침을 제공하고 다른 보안 스킬을 오케스트레이션하는 워크플로 번들입니다. 실제 스캐닝 도구를 실행하지 않습니다.
다른 스킬을 설치해야 하나요?
예. 이 워크플로는 scanning-tools, vulnerability-scanner, pentest-commands와 같은 다른 스킬을 참조합니다. 완전한 기능을 위해서는 이러한 스킬이 사용 가능해야 합니다.
이 도구를 모든 웹사이트에서 사용하는 것이 안전한가요?
아니요. 소유한 시스템이나 테스트할 수 있는 명시적인 서면 승인을 받은 시스템에만 사용하세요. 승인되지 않은 침투 테스트는 불법입니다.
최종 보안 보고서를 생성할 수 있나요?
워크플로에는 보고를 위한 7단계가 포함되어 있으며, 이는 발견 사항 및 수정 단계를 구성하는 데 도움이 됩니다. 최종 보고서 생성은 수동으로 편집해야 합니다.
어떤 OWASP 범주가 다루어지나요?
워크플로는 주입, 인증 결함, 민감한 데이터 노출, XXE, 접근 제어 결함, 보안 잘못된 구성, XSS, 안전하지 않은 역직렬화, 취약한 구성 요소 및 불충분한 로깅을 포함한 모든 OWASP Top 10 범주를 다룹니다.
Claude Code 및 Codex에서 작동하나요?
예. 이 스킬은 supported_tools 필드에 지정된 대로 claude, codex 및 claude-code 도구를 지원합니다.

개발자 세부 정보

작성자

sickn33

라이선스

MIT

리포지토리

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security-audit

참조

main

파일 구조

📄 SKILL.md