技能 senior-security

🛡️

senior-security

Name: senior-security
Author: alirezarezvani

低风险 ⚙️ 外部命令📁 文件系统访问

Набор инструментов для старших специалистов по безопасности

也可从以下获取: davila7

Этот навык предоставляет комплексные возможности безопасности для обеспечения безопасности приложений, моделирования угроз и аудита соответствия. Он помогает специалистам по безопасности проектировать защищённые архитектуры, внедрять надлежащую криптографию и автоматизировать оценки безопасности для различных технологических стеков.

支持: Claude Codex Code(CC)

🥉 76 青铜

下载技能 ZIP

在 Claude 中上传

前往设置 → 功能 → 技能 → 上传技能

开启并开始使用

测试它

正在使用“senior-security”。 Проанализируй моё React-приложение на предмет уязвимостей безопасности

预期结果:

Результаты аудита безопасности:
- Критическое: Потенциальная XSS при отображении пользовательского ввода (Component.js:45)
- Высокое: Отсутствие аутентификации на конечных точках API (routes.js:12)
- Среднее: Небезопасная конфигурация CORS, разрешающая все источники
Рекомендации:
1. Очищайте все пользовательские входные данные перед отображением
2. Внедрите аутентификацию на основе JWT для маршрутов API
3. Ограничьте CORS конкретными разрешёнными источниками

正在使用“senior-security”。 Спроектируй аутентификацию для моего мобильного банковского приложения

预期结果:

Архитектура аутентификации:
1. OAuth 2.0 с потоком PKCE для мобильных клиентов
2. JWT-токены доступа (срок действия 15 мин) с токенами обновления (7 дней)
3. Безопасное хранение токенов с использованием iOS Keychain и Android Keystore
4. Биометрическая аутентификация (Face ID, Touch ID) для разблокировки приложения
5. Привязка сертификатов для коммуникаций с API

正在使用“senior-security”。 Создай модель угроз для моего сервиса обработки платежей

预期结果:

Сводка модели угроз:
Активы: Данные платёжных карт, персональные данные клиентов, записи транзакций
Субъекты угроз: Внешние атакующие, злоумышленники изнутри организации
Векторы атак: Инъекции API, атаки «человек посередине», кража учётных данных
Средства контроля безопасности: TLS 1.3, токенизация, MFA, журналирование SIEM

安全审计

低风险

v3 • 1/16/2026

After manual evaluation, all 115 static findings are FALSE POSITIVES. The static scanner detected markdown code block syntax (```) as shell backticks, security terminology in educational documentation as exploits, and standard Python file I/O for report generation. The skill contains skeleton scripts and reference documentation for defensive security practices only. No malicious code, actual exploits, or harmful functionality exists.

已扫描文件

2,131

分析行数

发现项

审计总数

风险因素

⚙️ 外部命令 (6)

SKILL.md:16-25 SKILL.md:40-42 SKILL.md:55-57 references/cryptography_implementation.md:20-25 references/penetration_testing_guide.md:20-25 references/security_architecture_patterns.md:20-25

📁 文件系统访问 (3)

scripts/security_auditor.py:107 scripts/threat_modeler.py:107 scripts/pentest_automator.py:107

审计者: claude 查看审计历史 →

质量评分

架构

100

可维护性

内容

社区

安全

规范符合性

你能构建什么

Оценка безопасности приложений

Проведение комплексных аудитов безопасности веб-приложений, API и мобильных приложений для выявления и устранения уязвимостей.

Моделирование угроз для проектов

Создание автоматизированных моделей угроз для новых программных проектов путём выявления активов, угроз и средств контроля безопасности.

Проектирование защищённой архитектуры

Проектирование защищённых системных архитектур с учётом принципов нулевого доверия, эшелонированной защины и паттернов минимальных привилегий.

试试这些提示

Аудит безопасности

Используйте аудитора безопасности для анализа кодовой базы по адресу [path]. Выполните анализ и предоставьте подробный отчёт о критических и высокорисковых выводах безопасности с рекомендациями по устранению.

Создание модели угроз

Создайте модель угроз для [project name]. Определите активы, субъектов угроз, векторы атак и рекомендуйте соответствующие средства контроля безопасности в соответствии с методологией STRIDE.

Проектирование архитектуры безопасности

Спроектируйте защищённую архитектуру для [system description] в соответствии со справочником паттернов архитектуры безопасности. Включите аутентификацию, авторизацию, проверку входных данных и журналирование аудита.

Внедрение криптографии

Внедрите надёжное шифрование для [data type] с использованием отраслевых стандартных алгоритмов. Используйте AES-256-GCM для симметричного шифрования и RSA-2048 или выше для асимметричного шифрования с надлежащим управлением ключами.

最佳实践

Проверяйте и очищайте все пользовательские входные данные для предотвращения инъекционных атак, таких как SQL-инъекция и XSS
Используйте параметризованные запросы или ORM-фреймворки для всех операций с базой данных
Храните пароли с использованием надёжных алгоритмов хеширования, таких как bcrypt или Argon2, с уникальными солями
Внедряйте HTTPS/TLS для всей сетевой коммуникации и используйте привязку сертификатов в мобильных приложениях
Следуйте принципу минимальных привилегий для разрешений пользователей и доступа служебных учётных записей

避免

Жёсткое кодирование учётных данных, API-ключей или секретов непосредственно в исходном коде
Использование слабых или устаревших криптографических алгоритмов, таких как MD5, SHA1 или DES
Доверие пользовательскому вводу без проверки или очистки
Внедрение собственной криптографии вместо использования проверенных библиотек

常见问题

Как запустить аудит безопасности в моей кодовой базе?

Выполните 'python scripts/security_auditor.py <target-path> --verbose' для анализа целевой директории. Скрипт выполняет анализ и генерирует отчёт с выводами безопасности.

Какие разрешения необходимы для тестирования на проникновение?

Вы должны иметь явное письменное разрешение перед проведением любых тестов на проникновение. Используйте этот навык только на системах, которые вам принадлежат, или для которых у вас есть правильная юридическая область тестирования.

Какие криптографические алгоритмы следует использовать?

Используйте AES-256-GCM для симметричного шифрования, RSA-2048 или выше для асимметричного шифрования, SHA-256 для хеширования и bcrypt для хранения паролей.

Как создать модель угроз?

Выполните 'python scripts/threat_modeler.py <project-path>' для генерации модели угроз. Инструмент выявляет активы, угрозы и рекомендует средства контроля безопасности.

Какие языки программирования поддерживаются?

Этот навык поддерживает TypeScript, JavaScript, Python, Go, Swift и Kotlin. Он охватывает фреймворки, такие как React, Node.js, Express, и базы данных, такие как PostgreSQL.

Как часто следует проводить аудиты безопасности?

Запускайте автоматизированные аудиты при каждом коммите кода или создании pull request. Проводите комплексные ручные аудиты ежеквартально и после добавления основных функций.