스킬 web-security-testing

🛡️

web-security-testing

Name: web-security-testing
Author: sickn33

안전

OWASP Top 10 취약점에 대한 웹 앱 테스트

이 워크플로우는 인식부터 보고서에 이르기까지 OWASP Top 10 방법론에 따라 웹 애플리케이션의 종합적인 보안 테스트를 안내합니다.

지원: Claude Codex Code(CC)

⚠️ 68 나쁨

스킬 ZIP 다운로드

Claude에서 업로드

설정 → 기능 → 스킬 → 스킬 업로드로 이동

토글을 켜고 사용 시작

테스트해 보기

"web-security-testing" 사용 중입니다. Use @web-security-testing to test my web application at https://example.com

예상 결과:

Starting Phase 1: Reconnaissance
- Mapping application surface
- Identifying technologies used
- Discovering endpoints
- Finding subdomains
- Documenting initial findings
Ready to proceed to Phase 2: Injection Testing

"web-security-testing" 사용 중입니다. We are in Phase 3 of @web-security-testing. Test for XSS in the search feature.

예상 결과:

Phase 3: XSS Testing
Testing vectors: reflected, stored, DOM-based
Test cases to execute:
- <script>alert(1)</script>
- <img src=x onerror=alert(1)>
- <svg onload=alert(1)>
Document all successful bypasses with proof of concept

보안 감사

안전

v1 • 2/25/2026

Static analysis flagged 33 potential issues (31 external_commands, 2 weak cryptographic algorithms). After evaluation, all findings are FALSE POSITIVES. The external_commands detections are markdown code formatting (backticks) used for skill references like @scanning-tools, not actual shell execution. The cryptographic flags are false positives from keywords in the OWASP checklist. This is a legitimate security testing workflow with no malicious code.

스캔된 파일

185

분석된 줄 수

발견 사항

총 감사 수

높은 위험 문제 (1)

SKILL.md:3 SKILL.md:164

Weak Cryptographic Algorithm Detection

Scanner flagged lines 3 and 164 for weak cryptographic algorithm. Line 3 is YAML frontmatter description. Line 164 is OWASP category 'A04: Insecure Design'. No cryptographic code present.

중간 위험 문제 (1)

SKILL.md:31-32 SKILL.md:42-44 SKILL.md:49-50 SKILL.md:60-66 SKILL.md:71-72 SKILL.md:82-84 SKILL.md:89-101 SKILL.md:106-107 SKILL.md:117-123 SKILL.md:128-140 SKILL.md:145-157 SKILL.md:182-183

External Commands Detection

Scanner flagged 31 instances of 'Ruby/shell backtick execution' at various lines. These are markdown inline code formatting (backticks) used for skill references like `@scanning-tools`, not shell commands.

감사자: claude

품질 점수

아키텍처

100

유지보수성

콘텐츠

커뮤니티

보안

사양 준수

만들 수 있는 것

종합적인 보안 평가

상세한 단계별 테스트와 함께 구조화된 OWASP Top 10 방법론에 따라 웹 애플리케이션의 전체 보안 감사 수행

버그 바운티 정찰

구조화된 방식으로 대상 애플리케이션을 체계적으로 테스트하기 위해 버그 바운티 헌팅에 워크플로우 사용

보안 검증

프로덕션 배포 전에 웹 애플리케이션에 보안 제어가 제대로 구현되어 있는지 검증

이 프롬프트를 사용해 보세요

보안 테스트 시작

Use @web-security-testing to test my web application for security vulnerabilities. Target: [URL]

주입 테스트

We are in Phase 2 of @web-security-testing. Test for SQL injection on the login form at [URL] with parameter [param]

XSS 평가

Following Phase 3 of @web-security-testing, test for XSS vulnerabilities in the comment section at [URL]

보안 보고서 완료

We have completed all phases of @web-security-testing. Generate a security report summarizing findings and remediation steps.

모범 사례

모든 애플리케이션 테스트 전에 적절한 권한을 반드시 획득
완전한 적용을 위해 워크플로우 단계를 순서대로 따르기
각 취약점에 대한 개념 증명과 함께 모든 발견 사항 문서화
각 단계에서 특수화된 테스트를 위해 참조되는 스킬 호출

피하기

단계 건너뛰기 - 각 단계는 이전 정찰을 기반으로 구축됨
권한 없이 프로덕션에서 테스트
재현 단계 없이 발견 사항 문서화하지 않음
적절한 위험 평가 없이 저심각도 발견 사항 무시

자주 묻는 질문

이 스킬은 실제 익스플로잇을 실행합니까?

아니요. 이는 테스트 방법론과 프롬프트를 제공하는 워크플로우 안내 스킬입니다. 익스플로잇을 실행하거나 도구를 직접 실행하지 않습니다.

이 워크플로우를 사용하려면 다른 스킬이 필요합니까?

네. 이 워크플로우는 @scanning-tools, @sql-injection-testing, @xss-html-injection, @broken-authentication과 같은 다른 스킬을 참조하여 특정 테스트 단계를 수행합니다.

프로덕션 테스트에 적합합니까?

적절한 서면 권한이 있는 경우에만 가능합니다. 항상 모든 웹 애플리케이션 테스트 전에 명시적인 권한이 있는지 확인하세요.

어떤 OWASP 카테고리가 다루어집니까?

주입, 인증 실패, 민감한 데이터 노출, XML 외부 엔티티, 액세스 제어 실패, 보안 오류 구성, 크로스 사이트 스크립팅, 안전하지 않은 역직렬화, 취약한 구성 요소 사용, 로깅 부족을 포함한 모든 OWASP Top 10 2021 카테고리가 다루어집니다.

이 워크플로우를 사용자 지정할 수 있습니까?

네. 워크플로우 단계는 대상 애플리케이션 및 범위에 따라 조정할 수 있습니다. 평가에 필요에 따라 단계 추가 또는 수정하세요.

보고서에 어떤 출력 형식을 사용해야 합니까?

심각도, 개념 증명 및 수정 단계와 함께 취약점을 문서화하기 위한 보고 단계 안내를 따르세요. 업계 표준 형식을 사용하세요.

개발자 세부 정보

작성자

sickn33

라이선스

MIT

리포지토리

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/web-security-testing

참조

main

파일 구조

📄 SKILL.md