技能 senior-security

🛡️

senior-security

Name: senior-security
Author: alirezarezvani

低风险 ⚙️ 外部命令📁 文件系统访问

Kit de Ferramentas de Engenharia de Segurança Sênior

也可从以下获取: davila7

Esta skill fornece capacidades abrangentes de engenharia de segurança para segurança de aplicações, modelagem de ameaças e auditorias de conformidade. Ajuda profissionais de segurança a projetar arquiteturas seguras, implementar criptografia adequada e automatizar avaliações de segurança em múltiplas pilhas tecnológicas.

支持: Claude Codex Code(CC)

🥉 76 青铜

下载技能 ZIP

在 Claude 中上传

前往设置 → 功能 → 技能 → 上传技能

开启并开始使用

测试它

正在使用“senior-security”。 Analise minha aplicação React para vulnerabilidades de segurança

预期结果:

Resultados da Auditoria de Segurança:
- Crítico: Potencial XSS na renderização de entrada do usuário (Component.js:45)
- Alta: Autenticação ausente em endpoints de API (routes.js:12)
- Média: Configuração de CORS insegura permitindo todas as origens
Recomendações:
1. Sanitize todas as entradas do usuário antes de renderizar
2. Implemente autenticação baseada em JWT para rotas de API
3. Restrinja CORS para origens específicas permitidas

正在使用“senior-security”。 Projete autenticação para meu aplicativo bancário móvel

预期结果:

Arquitetura de Autenticação:
1. OAuth 2.0 com fluxo PKCE para clientes móveis
2. Tokens de acesso JWT (15 min de expiração) com tokens de atualização (7 dias)
3. Armazenamento seguro de tokens usando iOS Keychain e Android Keystore
4. Autenticação biométrica (Face ID, Touch ID) para desbloqueio do aplicativo
5. Certificate pinning para comunicações de API

正在使用“senior-security”。 Crie um modelo de ameaças para meu serviço de processamento de pagamentos

预期结果:

Resumo do Modelo de Ameaças:
Assets: Dados de cartão de pagamento, PII de clientes, registros de transações
Atores de Ameaça: Atacantes externos, internos maliciosos
Vetores de Ataque: Injeção de API, homem-no-meio, roubo de credenciais
Controles de Segurança: TLS 1.3, tokenização, MFA, registro SIEM

安全审计

低风险

v3 • 1/16/2026

After manual evaluation, all 115 static findings are FALSE POSITIVES. The static scanner detected markdown code block syntax (```) as shell backticks, security terminology in educational documentation as exploits, and standard Python file I/O for report generation. The skill contains skeleton scripts and reference documentation for defensive security practices only. No malicious code, actual exploits, or harmful functionality exists.

已扫描文件

2,131

分析行数

发现项

审计总数

风险因素

⚙️ 外部命令 (6)

SKILL.md:16-25 SKILL.md:40-42 SKILL.md:55-57 references/cryptography_implementation.md:20-25 references/penetration_testing_guide.md:20-25 references/security_architecture_patterns.md:20-25

📁 文件系统访问 (3)

scripts/security_auditor.py:107 scripts/threat_modeler.py:107 scripts/pentest_automator.py:107

审计者: claude 查看审计历史 →

质量评分

架构

100

可维护性

内容

社区

安全

规范符合性

你能构建什么

Avaliação de Segurança de Aplicações

Conduzir auditorias de segurança abrangentes de aplicações web, APIs e aplicações móveis para identificar e remediar vulnerabilidades.

Modelagem de Ameaças para Projetos

Criar modelos de ameaças automatizados para novos projetos de software identificando ativos, ameaças e controles de segurança.

Design de Arquitetura Segura

Projetar arquiteturas de sistema seguras seguindo princípios de confiança zero, defesa em profundidade e padrões de menor privilégio.

试试这些提示

Auditoria de Segurança

Use o auditor de segurança para analisar a base de código em [path]. Execute a análise e forneça um relatório detalhado das descobertas de segurança de severidade crítica e alta com recomendações de remediação.

Criar Modelo de Ameaças

Crie um modelo de ameaças para [project name]. Identifique ativos, atores de ameaça, vetores de ataque e recomende controles de segurança apropriados seguindo a metodologia STRIDE.

Projetar Arquitetura de Segurança

Projete uma arquitetura segura para [system description] seguindo os padrões de referência de arquitetura de segurança. Inclua autenticação, autorização, validação de entrada e registro de auditoria.

Implementar Criptografia

Implemente criptografia segura para [data type] usando algoritmos de padrão da indústria. Use AES-256-GCM para criptografia simétrica e RSA-2048 ou superior para criptografia assimétrica com gerenciamento adequado de chaves.

最佳实践

Valide e sanitize todas as entradas do usuário para prevenir ataques de injeção como SQL injection e XSS
Use consultas parametrizadas ou frameworks ORM para todas as operações de banco de dados
Armazene senhas usando algoritmos de hash fortes como bcrypt ou Argon2 com sais únicos
Implemente HTTPS/TLS para todas as comunicações de rede e use certificate pinning em aplicativos móveis
Siga o princípio de menor privilégio para permissões de usuário e acesso de contas de serviço

避免

Hardcoding de credenciais, chaves de API ou segredos diretamente no código-fonte
Usar algoritmos criptográficos fracos ou descontinuados como MD5, SHA1 ou DES
Confiar em entrada do usuário sem validação ou sanitização
Implementar criptografia personalizada em vez de usar bibliotecas estabelecidas

常见问题

Como executar uma auditoria de segurança na minha base de código?

Execute 'python scripts/security_auditor.py <target-path> --verbose' para analisar o diretório alvo. O script executa análise e gera um relatório com descobertas de segurança.

Quais permissões são necessárias para teste de penetração?

Você deve ter autorização escrita explícita antes de conduzir quaisquer testes de penetração. Use esta skill apenas em sistemas que você possui ou tem escopo legal adequado para testar.

Quais algoritmos criptográficos devo usar?

Use AES-256-GCM para criptografia simétrica, RSA-2048 ou superior para criptografia assimétrica, SHA-256 para hash e bcrypt para armazenamento de senhas.

Como criar um modelo de ameaças?

Execute 'python scripts/threat_modeler.py <project-path>' para gerar um modelo de ameaças. A ferramenta identifica ativos, ameaças e recomenda controles de segurança.

Quais linguagens de programação são suportadas?

Esta skill suporta TypeScript, JavaScript, Python, Go, Swift e Kotlin. Cobre frameworks como React, Node.js, Express e bancos de dados como PostgreSQL.

Com que frequência auditorias de segurança devem ser realizadas?

Execute auditorias automatizadas em cada commit de código ou pull request. Realize auditorias manuais abrangentes trimestralmente e após adições de recursos principais.