Habilidades html-injection-testing
🛡️

html-injection-testing

Baixo Risco ⚡ Contém scripts⚙️ Comandos externos🌐 Acesso à rede

Testar Vulnerabilidades de Injeção de HTML

Aplicações web frequentemente falham em sanitizar adequadamente a entrada do usuário, permitindo que invasores injetem conteúdo HTML malicioso. Esta skill fornece metodologia abrangente para identificar falhas de injeção de HTML através de testes de segurança autorizados.

Suporta: Claude Codex Code(CC)
⚠️ 66 Ruim
1

Baixar o ZIP da skill

2

Upload no Claude

Vá em Configurações → Capacidades → Skills → Upload skill

3

Ative e comece a usar

Testar

A utilizar "html-injection-testing". Testar parâmetro de busca para injeção de HTML

Resultado esperado:

  • Fase 1: Ponto de identificado no parâmetro /search?q=
  • Fase 2: Resultados do teste de payload básico: <h1>Test</h1> renderiza como título - VULNERÁVEL
  • Fase 3: Injeção armazenada confirmada - payload persiste após recarregar a página
  • Recomendação: Implementar codificação de saída usando htmlspecialchars() ou DOMPurify

A utilizar "html-injection-testing". Quais payloads de phishing podem demonstrar o risco de injeção de HTML?

Resultado esperado:

  • Payload de demonstração: Formulário overlay capturando credenciais
  • Impacto: Invasor pode coletar credenciais do usuário via formulário falso de login
  • Severidade: Médio a Alto dependendo do valor da autenticação
  • Remediação: Validação estrita de entrada e headers CSP

Auditoria de Segurança

Baixo Risco
v1 • 2/25/2026

This is a legitimate educational security testing skill for authorized HTML injection vulnerability assessment. Static findings are false positives or expected content for security education. The skill teaches penetration testing methodologies for identifying and reporting HTML injection flaws in web applications. All examples are clearly educational and the skill includes proper remediation guidance.

1
Arquivos analisados
504
Linhas analisadas
7
achados
1
Total de auditorias
Problemas de Risco Médio (2)
SKILL.md:429SKILL.md:433
innerHTML Assignment Examples
The skill contains examples of vulnerable innerHTML usage at lines 429 and 433. These are part of the 'Prevention and Remediation' section showing what NOT to do - they are educational examples of vulnerable patterns, not actual vulnerabilities in the skill itself.
SKILL.md:44-472
External Command Execution in Examples
The skill contains curl command examples for testing. These are standard security testing tools used for authorized vulnerability assessment. All examples target 'target.com' which is a placeholder domain, not real systems.
Problemas de Baixo Risco (2)
SKILL.md:119-382
Hardcoded URLs in Examples
Examples contain URLs to 'attacker.com' and similar domains. These are standard educational placeholders used in security training. No actual malicious infrastructure is referenced.
SKILL.md:314-339
Encoding and Obfuscation Techniques
The skill documents bypass techniques using various encoding methods (URL, HTML entities, Unicode). This is standard educational content for understanding filter evasion in security testing.

Fatores de risco

⚡ Contém scripts (2)
SKILL.md:429 SKILL.md:433
⚙️ Comandos externos (60)
SKILL.md:44-57 SKILL.md:57-74 SKILL.md:74-85 SKILL.md:85-88 SKILL.md:88-99 SKILL.md:99-105 SKILL.md:105-125 SKILL.md:125-128 SKILL.md:128-137 SKILL.md:137-145 SKILL.md:145-160 SKILL.md:160-166 SKILL.md:166-172 SKILL.md:172-178 SKILL.md:178-186 SKILL.md:186-192 SKILL.md:192-198 SKILL.md:198-204 SKILL.md:204-228 SKILL.md:228-231 SKILL.md:231-233 SKILL.md:233-239 SKILL.md:239-261 SKILL.md:261-267 SKILL.md:267-277 SKILL.md:277-281 SKILL.md:281-287 SKILL.md:287-291 SKILL.md:291-298 SKILL.md:298-302 SKILL.md:302-308 SKILL.md:308-314 SKILL.md:314-339 SKILL.md:339-345 SKILL.md:345-353 SKILL.md:353-357 SKILL.md:357-362 SKILL.md:362-366 SKILL.md:366-397 SKILL.md:397-403 SKILL.md:403-412 SKILL.md:412-414 SKILL.md:414-422 SKILL.md:422-424 SKILL.md:424-434 SKILL.md:434-448 SKILL.md:448-449 SKILL.md:449-450 SKILL.md:450-451 SKILL.md:451-452 SKILL.md:452-453 SKILL.md:453-459 SKILL.md:459-469 SKILL.md:469 SKILL.md:469-470 SKILL.md:470 SKILL.md:470-471 SKILL.md:471 SKILL.md:471-472 SKILL.md:472
🌐 Acesso à rede (30)
SKILL.md:390 SKILL.md:119 SKILL.md:120 SKILL.md:123 SKILL.md:130 SKILL.md:133 SKILL.md:136 SKILL.md:150 SKILL.md:155 SKILL.md:168 SKILL.md:168 SKILL.md:171 SKILL.md:181 SKILL.md:185 SKILL.md:194 SKILL.md:197 SKILL.md:210 SKILL.md:221 SKILL.md:223 SKILL.md:232 SKILL.md:254 SKILL.md:270 SKILL.md:276 SKILL.md:283 SKILL.md:293 SKILL.md:304 SKILL.md:307 SKILL.md:371 SKILL.md:379 SKILL.md:382

Padrões Detectados

False Positive: Windows SAM Database DetectionEducational Code Examples
Auditado por: claude

Pontuação de qualidade

38
Arquitetura
100
Manutenibilidade
87
Conteúdo
22
Comunidade
76
Segurança
96
Conformidade com especificações

O Que Você Pode Construir

Consultor de Segurança Avaliando Aplicações Web de Cliente

Um testador de penetração conduzindo avaliação de segurança autorizada para um cliente precisa identificar vulnerabilidades de injeção de HTML em suas aplicações web e fornecer um relatório abrangente com etapas de remediação.

Desenvolvedor Aprendendo Segurança Web

Um desenvolvedor web deseja entender vulnerabilidades de injeção de HTML para escrever código mais seguro e validar adequadamente a entrada do usuário em suas aplicações.

Engenheiro de QA Testando Tratamento de Entrada

Um engenheiro de QA precisa verificar se o tratamento de entrada da aplicação sanitiza adequadamente o conteúdo HTML e previne ataques de injeção.

Tente Estes Prompts

Teste Básico de Injeção de HTML 
Use a skill html-injection-testing para me ajudar a testar se a função de busca da nossa aplicação é vulnerável à injeção de HTML. O parâmetro de busca é 'q' e a URL é http://example.com/search
Avaliação de Injeção Armazenada 
Ajude-me a testar injeção de HTML armazenada no campo de bio do perfil do usuário usando a skill html-injection-testing. Quais payloads de teste devo usar e como verifico se a injeção está armazenada?
Teste de Bypass de Filtro 
Nossa aplicação afirma filtrar tags HTML. Usando a skill html-injection-testing, quais técnicas de codificação e bypass devo testar para verificar se o filtro pode ser evitado?
Verificação de Remediação 
Após implementar a sanitização de entrada, como posso usar a skill html-injection-testing para verificar se a remediação é eficaz e se não restam vetores de injeção de HTML?

Melhores Práticas

  • Sempre obtenha autorização por escrito antes de testar qualquer aplicação web
  • Documente todas as descobertas com capturas de prova de conceito e pares de requisição/resposta
  • Teste parâmetros GET e POST, incluindo campos ocultos e cookies
  • Inclua orientação de remediação no seu relatório para ajudar desenvolvedores a corrigir problemas

Evitar

  • Testar sistemas de produção sem autorização explícita
  • Usar vulnerabilidades descobertas para acessar ou exfiltrar dados
  • Focar apenas em ferramentas automatizadas sem verificação manual
  • Relatar descobertas sem fornecer etapas claras de reprodução

Perguntas Frequentes

Qual é a diferença entre injeção de HTML e XSS?
A injeção de HTML permite que invasores injetem conteúdo HTML malicioso em páginas web, afetando apenas a aparência da página. XSS (Cross-Site Scripting) permite a execução de código JavaScript, que é mais grave pois pode roubar cookies, tokens de sessão ou realizar ações em nome do usuário.
A injeção de HTML pode levar ao comprometimento de conta?
Sim, através de ataques de phishing. Invasores podem injetar formulários de login falsos que parecem legítimos e capturam credenciais do usuário quando submetidos.
Quais ferramentas são recomendadas para teste de injeção de HTML?
Burp Suite, OWASP ZAP e testes manuais com curl são as principais ferramentas. Scanners automatizados podem encontrar pontos de injeção básicos, mas testes manuais são necessários para cenários complexos.
Como prevenir injeção de HTML na minha aplicação web?
Use codificação de saída (htmlspecialchars em PHP, escape em Python), implemente headers de Content Security Policy, valide entrada contra listas de permissão e use frameworks modernos que escapam por padrão.
Testar em localhost é considerado ético?
Testar em seus próprios sistemas ou sistemas que você possui é geralmente aceitável. Sempre certifique-se de ter autorização por escrito explícita para qualquer sistema que você não possui.
Qual é a severidade típica de injeção de HTML?
Injeção de HTML é tipicamente de severidade média pois não pode executar JavaScript diretamente. No entanto, quando combinada com phishing ou desfiguração, o impacto pode ser alto, especialmente em sites com autenticação de usuário.

Detalhes do Desenvolvedor

Autor

sickn33

Licença

MIT

Repositório

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/html-injection-testing

Referência

main

Estrutura de arquivos

📄 SKILL.md