스킬 threat-modeling-expert
🛡️

threat-modeling-expert

안전

안전한 시스템 설계를 위한 전문가 수준의 위협 모델링 수행

보안 팀은 시스템 설계 중에 체계적으로 위협을 식별하는 데 어려움을 겪습니다. 이 스킬은 STRIDE 및 공격 트리와 같은 구조화된 방법론을 적용하여 배포 전에 취약점을 발견합니다.

지원: Claude Codex Code(CC)
📊 71 적절함
1

스킬 ZIP 다운로드

2

Claude에서 업로드

설정 → 기능 → 스킬 → 스킬 업로드로 이동

3

토글을 켜고 사용 시작

테스트해 보기

"threat-modeling-expert" 사용 중입니다. 사용자명/비밀번호를 수락하고 JWT 토큰을 반환하는 로그인 API 엔드포인트 분석

예상 결과:

STRIDE 분석 결과:
- 스푸핑 (Spoofing): 자격 증명 무차별 대입 공격, 도난당한 토큰을 통한 세션 하이재킹
- 변조 (Tampering): 토큰 조작, 요청 가로채기 및 수정
- 부인 (Repudiation): 인증 이벤트에 대한 감사 로그 누락
- 정보 유출 (Information Disclosure): 전송 중인 자격 증명, 유효한 사용자명을 밝히는 오류 메시지
- 서비스 거부 (Denial of Service): 속도 제한 격차, 계정 잠금 우회
- 권한 상승 (Elevation of Privilege): 토큰 권한 상승, 역할 조작

최우선순위: 속도 제한, 안전한 토큰 저장, 포괄적인 인증 로깅 구현.

"threat-modeling-expert" 사용 중입니다. '이커머스 플랫폼에서 고객 결제 데이터 탈취'에 대한 공격 트리 구축

예상 결과:

공격 트리 루트: 결제 데이터 탈취
├─ 애플리케이션 계층 침해
│ ├─ 체크아웃 폼에 대한 SQL 인젝션
│ ├─ 카드 입력 캡처를 위한 XSS
│ └─ 거래 열거를 위한 API 남용
├─ 인프라 침해
│ ├─ 네트워크 트래픽 가로채기
│ ├─ 데이터베이스 백업 액세스
│ └─ 로깅 시스템 악용
└─ 소셜 엔지니어링
├─ 지원 직원 대상 피싱
└─ 합법적인 사용자 사칭

권장 컨트롤: 입력 검증, WAF 규칙, 저장 데이터 암호화, 네트워크 분할, 직원 교육

보안 감사

안전
v1 • 2/25/2026

This skill contains documentation-only content (SKILL.md) describing threat modeling methodologies. All 7 static analysis findings for 'Weak cryptographic algorithm' and 'System reconnaissance' are false positives caused by security terminology in documentation text matching pattern detectors. No executable code, cryptographic operations, or actual reconnaissance capabilities exist. Safe for publication.

1
스캔된 파일
63
분석된 줄 수
0
발견 사항
1
총 감사 수
보안 문제를 찾지 못했습니다

감지된 패턴

False Positive: Weak Cryptographic Algorithm PatternFalse Positive: System Reconnaissance Pattern
감사자: claude

품질 점수

38
아키텍처
100
유지보수성
87
콘텐츠
31
커뮤니티
100
보안
91
사양 준수

만들 수 있는 것

보안 아키텍처 검토

개발 시작 전에 취약점을 식별하기 위해 시스템 설계 단계에서 포괄적인 위협 모델링을 수행합니다.

공격 표면 분석

잠재적인 악용 경로를 이해하고 방어를 우선순위 지정하기 위해 중요한 기능에 대한 공격 트리를 구축합니다.

보안 문서화

준수 감사 및 운영 팀 인계를 위해 구조화된 위협 모델과 보안 요구사항을 생성합니다.

이 프롬프트를 사용해 보세요

기본 위협 브레인스토밍 
STRIDE 방법론을 사용하여 이 시스템 설명을 분석하세요: [시스템 설명]. 각 STRIDE 범주에 대한 잠재적 위협을 한 문장 설명과 함께 나열하세요.
데이터 흐름 위협 분석 
다음은 데이터 흐름 다이어그램입니다: [데이터 흐름, 신뢰 경계, 구성 요소 설명]. 각 데이터 흐름과 구성 요소에 STRIDE 를 적용하세요. 식별된 각 위협에 대해 리스크 스코어 (1-5) 와 권장 완화 방안을 제공하세요.
공격 트리 구축 
이 시나리오에 대한 공격 트리를 구축하세요: [공격 목표 설명, 예: '사용자 데이터베이스에 대한 무단 액세스']. 루트 목표로 시작하여 1 단계 노드로 주요 공격 경로를 식별한 다음 특정 기술로 각 경로를 확장하세요. 리프 노드에 대한 가능성 추정치를 포함하세요.
보안 요구사항 추출 
이 위협 모델을 기반으로: [위협 붙여넣기], 식별된 각 리스크에 대한 특정 보안 요구사항을 추출하세요. 각 요구사항을 '시스템은 [위협] 을 방지/완화하기 위해 [조치] 를 해야 한다' 형식으로 작성하세요. 기능 영역별로 요구사항을 구성하고 리스크 스코어에 따라 우선순위를 지정하세요.

모범 사례

  • 정확한 시스템 이해를 위해 위협 모델링 세션에 개발자와 아키텍트를 참여시키세요
  • 단순 구성 요소 목록이 아닌 데이터 흐름과 신뢰 경계에 분석 초점을 맞추세요
  • 중요한 아키텍처 변경 또는 새 기능 추가 후 위협 모델을 업데이트하세요

피하기

  • 프로젝트 시작 시 한 번만 위협 모델링을 수행하고 후속 검토를 하지 않음
  • 유지 관리 불가능한 문서가 되는 지나치게 상세한 공격 트리 작성
  • 특정 완화 방안과 소유자와 연결하지 않고 위협만 식별함

자주 묻는 질문

STRIDE 와 PASTA 방법론의 차이점은 무엇인가요?
STRIDE 는 체계적인 커버리지를 위해 위협을 분류합니다 (스푸핑, 변조, 부인, 정보 유출, 서비스 거부, 권한 상승). PASTA 는 비즈니스 목표와 위협을 정렬하는 리스크 중심의 7 단계 프로세스입니다. 구성 요소 수준의 분석에는 STRIDE 를, 비즈니스 정렬 리스크 평가에는 PASTA 를 사용하세요.
어떤 위협부터 먼저 처리해야 하는지 어떻게 우선순위를 지정하나요?
DREAD 또는 유사한 방법을 사용하여 각 위협에 점수를 매기세요: 피해 잠재력, 재현 가능성, 악용 가능성, 영향 받는 사용자, 발견 가능성을 고려하세요. 피해가 크고 가능성이 높은 위협을 먼저 처리하세요. 우선순위를 지정할 때 비즈니스 맥락과 규제 요구사항을 고려하세요.
이 스킬이 전문 보안 감사를 대체할 수 있나요?
아닙니다. 이 스킬은 구조화된 위협 모델링 지침을 제공하지만 공인 보안 감사, 침투 테스트 또는 준수 평가를 대체할 수 없습니다. 공식 보안 프로세스와 함께 사전 예방적 설계 도구로 사용하세요.
실용적인 사용을 위해 공격 트리는 얼마나 상세해야 하나요?
실행 가능한 통찰력을 위해 2-3 단계 깊이에 초점을 맞추세요. 너무 얕으면 공격 경로를 놓치고, 너무 깊으면 관리하기 어려워집니다. 리프 노드가 명확한 완화 방안과 함께 특정하고 테스트 가능한 공격 기술을 나타낼 때 확장을 중단하세요.
효과적인 위협 모델링을 위해 어떤 입력을 제공해야 하나요?
시스템 아키텍처 다이어그램, 데이터 흐름 설명, 신뢰 경계, 자산 목록, 알려진 제약 사항을 제공하세요. 시스템 설계와 비즈니스 요구사항에 대한 맥락이 많을수록 위협 분석이 더 정확하고 관련성이 높아집니다.
위협 모델은 얼마나 자주 검토하고 업데이트해야 하나요?
중요한 아키텍처 변경, 새 기능 추가 또는 보안 사고 후 위협 모델을 검토하세요. 안정적인 시스템은 분기별 검토를 예약하세요. 위협 모델을 시스템과 함께 진화하는 살아있는 문서로 취급하세요.

개발자 세부 정보

작성자

sickn33

라이선스

MIT

리포지토리

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/threat-modeling-expert

참조

main

파일 구조

📄 SKILL.md