技能 html-injection-testing
🛡️
html-injection-testing
低风险 ⚡
包含脚本⚙️
外部命令🌐
网络访问
Testar Vulnerabilidades de Injeção de HTML
Aplicações web frequentemente falham em sanitizar adequadamente a entrada do usuário, permitindo que invasores injetem conteúdo HTML malicioso. Esta skill fornece metodologia abrangente para identificar falhas de injeção de HTML através de testes de segurança autorizados.
支持: Claude Codex Code(CC)
1
下载技能 ZIP
2
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
3
开启并开始使用
测试它
正在使用“html-injection-testing”。 Testar parâmetro de busca para injeção de HTML
预期结果:
- Fase 1: Ponto de identificado no parâmetro /search?q=
- Fase 2: Resultados do teste de payload básico: <h1>Test</h1> renderiza como título - VULNERÁVEL
- Fase 3: Injeção armazenada confirmada - payload persiste após recarregar a página
- Recomendação: Implementar codificação de saída usando htmlspecialchars() ou DOMPurify
正在使用“html-injection-testing”。 Quais payloads de phishing podem demonstrar o risco de injeção de HTML?
预期结果:
- Payload de demonstração: Formulário overlay capturando credenciais
- Impacto: Invasor pode coletar credenciais do usuário via formulário falso de login
- Severidade: Médio a Alto dependendo do valor da autenticação
- Remediação: Validação estrita de entrada e headers CSP
安全审计
低风险v1 • 2/25/2026
This is a legitimate educational security testing skill for authorized HTML injection vulnerability assessment. Static findings are false positives or expected content for security education. The skill teaches penetration testing methodologies for identifying and reporting HTML injection flaws in web applications. All examples are clearly educational and the skill includes proper remediation guidance.
1
已扫描文件
504
分析行数
7
发现项
1
审计总数
中风险问题 (2)
innerHTML Assignment Examples
The skill contains examples of vulnerable innerHTML usage at lines 429 and 433. These are part of the 'Prevention and Remediation' section showing what NOT to do - they are educational examples of vulnerable patterns, not actual vulnerabilities in the skill itself.
External Command Execution in Examples
The skill contains curl command examples for testing. These are standard security testing tools used for authorized vulnerability assessment. All examples target 'target.com' which is a placeholder domain, not real systems.
低风险问题 (2)
Hardcoded URLs in Examples
Examples contain URLs to 'attacker.com' and similar domains. These are standard educational placeholders used in security training. No actual malicious infrastructure is referenced.
Encoding and Obfuscation Techniques
The skill documents bypass techniques using various encoding methods (URL, HTML entities, Unicode). This is standard educational content for understanding filter evasion in security testing.
风险因素
⚡ 包含脚本 (2)
⚙️ 外部命令 (60)
SKILL.md:44-57 SKILL.md:57-74 SKILL.md:74-85 SKILL.md:85-88 SKILL.md:88-99 SKILL.md:99-105 SKILL.md:105-125 SKILL.md:125-128 SKILL.md:128-137 SKILL.md:137-145 SKILL.md:145-160 SKILL.md:160-166 SKILL.md:166-172 SKILL.md:172-178 SKILL.md:178-186 SKILL.md:186-192 SKILL.md:192-198 SKILL.md:198-204 SKILL.md:204-228 SKILL.md:228-231 SKILL.md:231-233 SKILL.md:233-239 SKILL.md:239-261 SKILL.md:261-267 SKILL.md:267-277 SKILL.md:277-281 SKILL.md:281-287 SKILL.md:287-291 SKILL.md:291-298 SKILL.md:298-302 SKILL.md:302-308 SKILL.md:308-314 SKILL.md:314-339 SKILL.md:339-345 SKILL.md:345-353 SKILL.md:353-357 SKILL.md:357-362 SKILL.md:362-366 SKILL.md:366-397 SKILL.md:397-403 SKILL.md:403-412 SKILL.md:412-414 SKILL.md:414-422 SKILL.md:422-424 SKILL.md:424-434 SKILL.md:434-448 SKILL.md:448-449 SKILL.md:449-450 SKILL.md:450-451 SKILL.md:451-452 SKILL.md:452-453 SKILL.md:453-459 SKILL.md:459-469 SKILL.md:469 SKILL.md:469-470 SKILL.md:470 SKILL.md:470-471 SKILL.md:471 SKILL.md:471-472 SKILL.md:472
🌐 网络访问 (30)
SKILL.md:390 SKILL.md:119 SKILL.md:120 SKILL.md:123 SKILL.md:130 SKILL.md:133 SKILL.md:136 SKILL.md:150 SKILL.md:155 SKILL.md:168 SKILL.md:168 SKILL.md:171 SKILL.md:181 SKILL.md:185 SKILL.md:194 SKILL.md:197 SKILL.md:210 SKILL.md:221 SKILL.md:223 SKILL.md:232 SKILL.md:254 SKILL.md:270 SKILL.md:276 SKILL.md:283 SKILL.md:293 SKILL.md:304 SKILL.md:307 SKILL.md:371 SKILL.md:379 SKILL.md:382
检测到的模式
False Positive: Windows SAM Database DetectionEducational Code Examples
审计者: claude
质量评分
38
架构
100
可维护性
87
内容
50
社区
76
安全
96
规范符合性
你能构建什么
Consultor de Segurança Avaliando Aplicações Web de Cliente
Um testador de penetração conduzindo avaliação de segurança autorizada para um cliente precisa identificar vulnerabilidades de injeção de HTML em suas aplicações web e fornecer um relatório abrangente com etapas de remediação.
Desenvolvedor Aprendendo Segurança Web
Um desenvolvedor web deseja entender vulnerabilidades de injeção de HTML para escrever código mais seguro e validar adequadamente a entrada do usuário em suas aplicações.
Engenheiro de QA Testando Tratamento de Entrada
Um engenheiro de QA precisa verificar se o tratamento de entrada da aplicação sanitiza adequadamente o conteúdo HTML e previne ataques de injeção.
试试这些提示
Teste Básico de Injeção de HTML
Use a skill html-injection-testing para me ajudar a testar se a função de busca da nossa aplicação é vulnerável à injeção de HTML. O parâmetro de busca é 'q' e a URL é http://example.com/search
Avaliação de Injeção Armazenada
Ajude-me a testar injeção de HTML armazenada no campo de bio do perfil do usuário usando a skill html-injection-testing. Quais payloads de teste devo usar e como verifico se a injeção está armazenada?
Teste de Bypass de Filtro
Nossa aplicação afirma filtrar tags HTML. Usando a skill html-injection-testing, quais técnicas de codificação e bypass devo testar para verificar se o filtro pode ser evitado?
Verificação de Remediação
Após implementar a sanitização de entrada, como posso usar a skill html-injection-testing para verificar se a remediação é eficaz e se não restam vetores de injeção de HTML?
最佳实践
- Sempre obtenha autorização por escrito antes de testar qualquer aplicação web
- Documente todas as descobertas com capturas de prova de conceito e pares de requisição/resposta
- Teste parâmetros GET e POST, incluindo campos ocultos e cookies
- Inclua orientação de remediação no seu relatório para ajudar desenvolvedores a corrigir problemas
避免
- Testar sistemas de produção sem autorização explícita
- Usar vulnerabilidades descobertas para acessar ou exfiltrar dados
- Focar apenas em ferramentas automatizadas sem verificação manual
- Relatar descobertas sem fornecer etapas claras de reprodução
常见问题
Qual é a diferença entre injeção de HTML e XSS?
A injeção de HTML permite que invasores injetem conteúdo HTML malicioso em páginas web, afetando apenas a aparência da página. XSS (Cross-Site Scripting) permite a execução de código JavaScript, que é mais grave pois pode roubar cookies, tokens de sessão ou realizar ações em nome do usuário.
A injeção de HTML pode levar ao comprometimento de conta?
Sim, através de ataques de phishing. Invasores podem injetar formulários de login falsos que parecem legítimos e capturam credenciais do usuário quando submetidos.
Quais ferramentas são recomendadas para teste de injeção de HTML?
Burp Suite, OWASP ZAP e testes manuais com curl são as principais ferramentas. Scanners automatizados podem encontrar pontos de injeção básicos, mas testes manuais são necessários para cenários complexos.
Como prevenir injeção de HTML na minha aplicação web?
Use codificação de saída (htmlspecialchars em PHP, escape em Python), implemente headers de Content Security Policy, valide entrada contra listas de permissão e use frameworks modernos que escapam por padrão.
Testar em localhost é considerado ético?
Testar em seus próprios sistemas ou sistemas que você possui é geralmente aceitável. Sempre certifique-se de ter autorização por escrito explícita para qualquer sistema que você não possui.
Qual é a severidade típica de injeção de HTML?
Injeção de HTML é tipicamente de severidade média pois não pode executar JavaScript diretamente. No entanto, quando combinada com phishing ou desfiguração, o impacto pode ser alto, especialmente em sites com autenticação de usuário.