Habilidades Broken Authentication Testing
🔐

Broken Authentication Testing

Seguro ⚙️ Comandos externos🌐 Acesso à rede

Testar Segurança de Autenticação

Identificar vulnerabilidades de autenticação quebrada e gerenciamento de sessão em aplicações web usando técnicas abrangentes de teste de penetração.

Suporta: Claude Codex Code(CC)
🥉 72 Bronze
1

Baixar o ZIP da skill

2

Upload no Claude

Vá em Configurações → Capacidades → Skills → Upload skill

3

Ative e comece a usar

Testar

A utilizar "Broken Authentication Testing". Testar autenticação em https://testapp.example.com para vulnerabilidades de autenticação quebrada

Resultado esperado:

  • Avaliação de Autenticação Completa
  • Descobertas:
  • - Política de senha fraca (mínimo 4 caracteres)
  • - Nenhum mecanismo de bloqueio de conta detectado
  • - Tokens de sessão sem flag Secure
  • - Enumeração de nome de usuário via redefinição de senha
  • Recomendações:
  • - Exigir senhas com 12+ caracteres e complexidade
  • - Implementar bloqueio de conta após 5 tentativas falhas
  • - Adicionar flags Secure e HttpOnly aos cookies de sessão
  • - Usar mensagens de erro genéricas

A utilizar "Broken Authentication Testing". Analisar segurança de token de sessão para entropia e previsibilidade

Resultado esperado:

  • Análise de Token de Sessão:
  • - Comprimento do token: 16 caracteres (insuficiente)
  • - Padrão detectado: incrementos sequenciais
  • - Entropia: 32 bits (abaixo da recomendação de 128 bits)
  • - Contém componente de timestamp: SIM
  • Risco: ALTO - Tokens são previsíveis e não devem ser usados

A utilizar "Broken Authentication Testing". Testar funcionalidade de redefinição de senha para fraquezas de segurança

Resultado esperado:

  • Avaliação de Redefinição de Senha:
  • - Comprimento do token: 8 caracteres (fraco)
  • - Expiração do token: 24 horas (aceitável)
  • - Aplicação de uso único: VERIFICADO
  • - Vinculação de conta: NÃO APLICADA (vulnerável)
  • - Injeção de host header: NÃO VULNERÁVEL
  • Vulnerabilidade: Token pode ser reutilizado entre contas

Auditoria de Segurança

Seguro
v1 • 2/25/2026

This is a legitimate penetration testing and security assessment skill. All 76 static findings are false positives: the detected 'external_commands' and 'network' patterns are documentation code examples showing legitimate security testing techniques (hydra commands, HTTP request examples, JWT attack demonstrations). The skill properly includes legal requirements for authorization and scope limitations. No actual executable malware or exploit code is present.

1
Arquivos analisados
477
Linhas analisadas
2
achados
1
Total de auditorias

Fatores de risco

⚙️ Comandos externos (40)
SKILL.md:47-60 SKILL.md:60-64 SKILL.md:64-70 SKILL.md:70-76 SKILL.md:76-81 SKILL.md:81-89 SKILL.md:89-93 SKILL.md:93-102 SKILL.md:102-108 SKILL.md:108-121 SKILL.md:121-125 SKILL.md:125-139 SKILL.md:139-145 SKILL.md:145-160 SKILL.md:160-166 SKILL.md:166-175 SKILL.md:175-179 SKILL.md:179-195 SKILL.md:195-201 SKILL.md:201-214 SKILL.md:214-218 SKILL.md:218-225 SKILL.md:225-231 SKILL.md:231-247 SKILL.md:247-253 SKILL.md:253-277 SKILL.md:277-281 SKILL.md:281-289 SKILL.md:289-295 SKILL.md:295-314 SKILL.md:314-333 SKILL.md:333-355 SKILL.md:355-370 SKILL.md:370-377 SKILL.md:377-405 SKILL.md:405-424 SKILL.md:424-430 SKILL.md:430-445 SKILL.md:445-451 SKILL.md:451-467
🌐 Acesso à rede (13)
SKILL.md:187 SKILL.md:222 SKILL.md:306 SKILL.md:457 SKILL.md:465 SKILL.md:371 SKILL.md:372 SKILL.md:373 SKILL.md:374 SKILL.md:375 SKILL.md:376 SKILL.md:413 SKILL.md:417
Auditado por: claude

Pontuação de qualidade

38
Arquitetura
100
Manutenibilidade
87
Conteúdo
50
Comunidade
100
Segurança
74
Conformidade com especificações

O Que Você Pode Construir

Avaliação de Segurança para Aplicações Web

Realizar auditorias abrangentes de segurança de autenticação para aplicações web durante desenvolvimento ou produção

Triagem de Vulnerabilidade Pré-Implantação

Identificar fraquezas de autenticação antes de liberar aplicações para ambientes de produção

Treinamento de Segurança de Autenticação

Aprender metodologias de teste de autenticação e técnicas de identificação de vulnerabilidades

Tente Estes Prompts

Teste Básico de Autenticação 
Use a habilidade de Teste de Autenticação Quebrada para avaliar a segurança de autenticação de https://example.com. Comece mapeando endpoints de autenticação e identificando o tipo de autenticação usado.
Auditoria de Gerenciamento de Sessão 
Realize um teste de segurança de gerenciamento de sessão na aplicação alvo. Analise a entropia do token de sessão, verifique vulnerabilidades de session fixation e valide políticas de timeout de sessão.
Avaliação de Credential Stuffing 
Conduza um teste de credential stuffing usando a lista de contas de teste fornecida. Avalie as defesas da aplicação contra ataques automatizados de credenciais e documente qualquer tomada de conta bem-sucedida.
Avaliação de Bypass de MFA 
Teste a implementação de autenticação multifator para vulnerabilidades de bypass. Avalie proteção contra força bruta de OTP, segurança de inscrição e manuseio de códigos de backup.

Melhores Práticas

  • Sempre obtenha autorização por escrito antes de testar qualquer aplicação alvo
  • Documente todas as atividades de teste e descobertas para conformidade e relatório
  • Use contas de teste isoladas para evitar impacto em dados de produção

Evitar

  • Testar sistemas de produção sem autorização explícita
  • Usar bancos de dados reais de credenciais violadas durante testes
  • Explorar vulnerabilidades além do escopo da avaliação

Perguntas Frequentes

Qual autorização é necessária para usar esta habilidade?
Esta habilidade requer autorização explícita por escrito do proprietário do sistema alvo. Testar sem autorização é ilegal e antiético.
Esta habilidade pode testar qualquer aplicação web?
Apenas aplicações onde você possui contas de teste e autorização explícita. A habilidade inclui restrições legais que devem ser seguidas.
Quais ferramentas esta habilidade usa?
A habilidade fornece metodologia e exemplos usando ferramentas comuns como Burp Suite, Hydra e scripts Python personalizados para teste.
Esta habilidade realiza ataques reais?
Não. Esta habilidade fornece orientação e metodologia para teste de segurança autorizado. Ela documenta técnicas de teste sem executá-las.
Quais vulnerabilidades de autenticação podem ser identificadas?
A habilidade cobre fraquezas de política de senhas, falhas de gerenciamento de sessão, credential stuffing, bypass de MFA, enumeração de nome de usuário e vulnerabilidades de redefinição de senha.
Esta habilidade é adequada para testadores de segurança iniciantes?
Sim. A habilidade inclui documentação abrangente desde conceitos básicos até técnicas avançadas com exemplos práticos.

Detalhes do Desenvolvedor

Autor

sickn33

Licença

MIT

Repositório

https://github.com/sickn33/antigravity-awesome-skills/tree/main/web-app/public/skills/broken-authentication

Referência

main

Estrutura de arquivos

📄 SKILL.md