技能 web-security-testing

🛡️

web-security-testing

Name: web-security-testing
Author: sickn33

安全

Testar Aplicações Web para Vulnerabilidades OWASP Top 10

Este fluxo de trabalho guia você através de testes de segurança abrangentes de aplicações web seguindo a metodologia OWASP Top 10, desde reconhecimento até geração de relatórios.

支持: Claude Codex Code(CC)

⚠️ 68 差

下载技能 ZIP

在 Claude 中上传

前往设置 → 功能 → 技能 → 上传技能

开启并开始使用

测试它

正在使用“web-security-testing”。 Use @web-security-testing para testar minha aplicação web em https://example.com

预期结果:

Iniciando Fase 1: Reconhecimento
- Mapeando superfície da aplicação
- Identificando tecnologias utilizadas
- Descobrindo endpoints
- Encontrando subdomínios
- Documentando descobertas iniciais
Pronto para prosseguir para Fase 2: Teste de Injeção

正在使用“web-security-testing”。 Estamos na Fase 3 do @web-security-testing. Teste XSS na funcionalidade de busca.

预期结果:

Fase 3: Teste XSS
Vetores de teste: refletido, armazenado, baseado em DOM
Casos de teste para executar:
- <script>alert(1)</script>
- <img src=x onerror=alert(1)>
- <svg onload=alert(1)>
Documente todos os bypasses bem-sucedidos com prova de conceito

安全审计

安全

v1 • 2/25/2026

Static analysis flagged 33 potential issues (31 external_commands, 2 weak cryptographic algorithms). After evaluation, all findings are FALSE POSITIVES. The external_commands detections are markdown code formatting (backticks) used for skill references like @scanning-tools, not actual shell execution. The cryptographic flags are false positives from keywords in the OWASP checklist. This is a legitimate security testing workflow with no malicious code.

已扫描文件

185

分析行数

发现项

审计总数

高风险问题 (1)

SKILL.md:3 SKILL.md:164

Weak Cryptographic Algorithm Detection

Scanner flagged lines 3 and 164 for weak cryptographic algorithm. Line 3 is YAML frontmatter description. Line 164 is OWASP category 'A04: Insecure Design'. No cryptographic code present.

中风险问题 (1)

SKILL.md:31-32 SKILL.md:42-44 SKILL.md:49-50 SKILL.md:60-66 SKILL.md:71-72 SKILL.md:82-84 SKILL.md:89-101 SKILL.md:106-107 SKILL.md:117-123 SKILL.md:128-140 SKILL.md:145-157 SKILL.md:182-183

External Commands Detection

Scanner flagged 31 instances of 'Ruby/shell backtick execution' at various lines. These are markdown inline code formatting (backticks) used for skill references like `@scanning-tools`, not shell commands.

审计者: claude

质量评分

架构

100

可维护性

内容

社区

安全

规范符合性

你能构建什么

Avaliação de Segurança Abrangente

Realize uma auditoria de segurança completa de uma aplicação web seguindo uma metodologia estruturada OWASP Top 10 com testes detalhados fase por fase.

Reconhecimento para Bug Bounty

Use o fluxo de trabalho para bug bounty hunting para testar sistematicamente aplicações alvo para vulnerabilidades de maneira estruturada.

Validação de Segurança

Valide que os controles de segurança estão devidamente implementados em uma aplicação web antes da implantação em produção.

试试这些提示

Iniciar Teste de Segurança

Use @web-security-testing para testar minha aplicação web para vulnerabilidades de segurança. Alvo: [URL]

Testar Injeção

Estamos na Fase 2 do @web-security-testing. Teste injeção SQL no formulário de login em [URL] com parâmetro [param]

Avaliação XSS

Seguindo a Fase 3 do @web-security-testing, teste vulnerabilidades XSS na seção de comentários em [URL]

Relatório de Segurança Completo

Completamos todas as fases do @web-security-testing. Gere um relatório de segurança resumindo descobertas e passos de remediação.

最佳实践

Sempre obtenha autorização adequada antes de testar qualquer aplicação
Siga as fases do workflow em ordem para cobertura abrangente
Documente todas as descobertas com prova de conceito para cada vulnerabilidade
Invoque skills referenciadas para testes especializados em cada fase

避免

Pular fases - cada fase constrói sobre reconhecimento anterior
Testar em produção sem autorização
Não documentar descobertas com passos de reprodução
Ignorar descobertas de baixa severidade sem avaliação de risco adequada

常见问题

Esta skill executa exploits reais?

Não. Esta é uma skill de orientação de workflow que fornece metodologia de teste e prompts. Ela não executa exploits ou roda ferramentas diretamente.

Preciso de outras skills para usar este workflow?

Sim. Este workflow referencia outras skills como @scanning-tools, @sql-injection-testing, @xss-html-injection, e @broken-authentication para fases específicas de teste.

Isto é adequado para teste em produção?

Apenas com autorização escrita adequada. Sempre certifique-se de ter permissão explícita antes de testar qualquer aplicação web.

Quais categorias OWASP são cobertas?

Todas as categorias OWASP Top 10 2021 são cobertas incluindo injeção, autenticação quebrada, exposição de dados sensíveis, entidades externas XML, controle de acesso quebrado, configuração incorreta de segurança, cross-site scripting, desserialização insegura, uso de componentes vulneráveis e logging insuficiente.

Posso personalizar este workflow?

Sim. As fases do workflow podem ser adaptadas baseadas na sua aplicação alvo e escopo. Adicione ou modifique fases conforme necessário para sua avaliação.

Qual formato de saída devo usar para relatórios?

Siga a orientação da fase de relatório para documentar vulnerabilidades com severidade, prova de conceito e passos de remediação. Use formatos padrão da indústria.

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/web-security-testing

引用

main

文件结构

📄 SKILL.md