Навыки backend-security-coder
🔒

backend-security-coder

Безопасно

Эксперт по безопасному бэкенд-коду

Создавайте безопасные бэкенд-приложения с экспертной поддержкой по аутентификации, безопасности API, валидации входных данных и предотвращению уязвимостей. Предоставляет техники защитного программирования и паттерны реализации с приоритетом безопасности для современной бэкенд-разработки.

Поддерживает: Claude Codex Code(CC)
🥉 73 Бронза
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «backend-security-coder». Реализовать безопасное хранение паролей для регистрации пользователей

Ожидаемый результат:

Реализация хранения паролей использует bcrypt с work factor 12, включает генерацию уникальной соли для каждого пароля и реализует валидацию надёжности пароля. Система никогда не хранит пароли в открытом виде и использует сравнение за постоянное время для предотвращения timing-атак.

Использование «backend-security-coder». Проверить этот эндпоинт входа на проблемы безопасности

Ожидаемый результат:

Эндпоинт входа имеет три проблемы безопасности: 1) Отсутствие rate limiting позволяет brute force атаки, 2) Сообщения об ошибках раскрывают существование username, 3) Нет механизма блокировки аккаунта. Рекомендуемые исправления включают реализацию rate limiting с экспоненциальной задержкой, универсальные сообщения об ошибках и временную блокировку аккаунта после неудачных попыток.

Использование «backend-security-coder». Добавить CSRF-защиту к моим формам

Ожидаемый результат:

Реализация CSRF-защиты включает: 1) Генерация anti-CSRF токенов с использованием криптографически безопасных случайных байтов, 2) Валидация токенов для всех запросов, изменяющих состояние, 3) Атрибут SameSite=Strict для cookies, 4) Валидация заголовка Origin для API-запросов, и 5) Паттерн double-submit cookie для дополнительной защиты.

Аудит безопасности

Безопасно
v1 • 2/25/2026

Prompt-only skill with no executable code. The skill provides comprehensive guidance on secure backend coding practices including input validation, authentication, API security, and vulnerability prevention. No security risks detected.

1
Просканировано файлов
159
Проанализировано строк
0
находки
1
Всего аудитов
Проблем безопасности не найдено
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
33
Сообщество
100
Безопасность
100
Соответствие спецификации

Что вы можете построить

Безопасная разработка API

Создание безопасных REST API с правильной аутентификацией, rate limiting и валидацией входных данных для предотвращения распространённых векторов атак, таких как инъекции и обход аутентификации.

Реализация системы аутентификации

Реализация безопасной пользовательской аутентификации с JWT, OAuth, многофакторной аутентификацией и безопасным управлением сессиями в соответствии с рекомендациями OWASP.

Ревизия безопасности кода

Проверка существующего бэкенд-кода на уязвимости безопасности, включая риски инъекций, ошибки аутентификации и небезопасную обработку данных с actionable шагами по исправлению.

Попробуйте эти промпты

Реализация безопасной аутентификации 
Реализуйте безопасную систему пользовательской аутентификации с использованием JWT. Включите хеширование паролей с bcrypt, ротацию refresh-токенов и безопасное управление сессиями.
Безопасный API-эндпоинт 
Проверьте и защитите этот API-эндпоинт от инъекционных атак. Добавьте валидацию входных данных, rate limiting и правильную обработку ошибок.
Реализация безопасности базы данных 
Настройте безопасный доступ к базе данных с параметризованными запросами, правильным контролем доступа и послойным шифрованием для конфиденциальных данных.
Настройка CSRF-защиты 
Реализуйте комплексную CSRF-защиту с anti-CSRF токенами, атрибутами SameSite для cookies и валидацией заголовков для операций, изменяющих состояние.

Лучшие практики

  • Всегда используйте параметризованные запросы и prepared statements для предотвращения SQL-инъекций
  • Реализуйте защиту в глубину с несколькими уровнями безопасности, включая валидацию входных данных, аутентификацию и авторизацию
  • Применяйте принцип наименьших привилегий для доступа к базе данных, разрешений API и операций с файловой системой

Избегать

  • Никогда не конкатенируйте пользовательский ввод напрямую в запросы к базе данных или строки команд
  • Избегайте раскрытия конфиденциальной информации в сообщениях об ошибках, логах или ответах API
  • Не реализуйте собственную аутентификацию или шифрование — используйте проверенные библиотеки и протоколы

Часто задаваемые вопросы

В чём разница между этим навыком и security-auditor?
Этот навык фокусируется на практическом написании безопасного бэкенд-кода — создании безопасного кода, реализации аутентификации и исправлении уязвимостей. Security-auditor фокусируется на высокоуровневых аудитах безопасности, оценках соответствия и моделировании угроз. Используйте этот навык при написании безопасного бэкенд-кода и security-auditor при оценке общего состояния безопасности.
Может ли этот навык заменить ручное тестирование безопасности?
Нет. Этот навык предоставляет экспертные рекомендации по практикам безопасного написания кода, но не может заменить ручное тестирование безопасности, пентестинг или автоматические сканеры уязвимостей. Его следует использовать вместе с комплексными практиками тестирования безопасности в рамках безопасного жизненного цикла разработки.
Какие методы аутентификации поддерживает этот навык?
Этот навык охватывает безопасность JWT, реализацию OAuth 2.0/2.1, многофакторную аутентификацию с TOTP и аппаратными токенами, безопасное хеширование паролей с bcrypt и Argon2, и безопасное управление сессиями. Он фокусируется на стандартных отраслевых протоколах и проверенных реализациях.
Выполняет ли этот навык автоматическое сканирование кода?
Нет. Этот навык предоставляет рекомендации и рекомендации по практикам безопасного написания бэкенд-кода, когда вы просите его проверить код или реализовать функции безопасности. Он не автоматически сканирует вашу кодовую базу и не запускает инструменты анализа безопасности. Для автоматического обнаружения уязвимостей следует использовать специализированные инструменты сканирования безопасности.
Какие типы приложений наиболее выигрывают от этого навыка?
Этот навык идеально подходит для веб-приложений, REST API, микросервисов и любой бэкенд-системы, обрабатывающей пользовательскую аутентификацию, конфиденциальные данные или внешние интеграции. Он особенно ценен для приложений, обрабатывающих пользовательские данные, обрабатывающих платежи или требующих соответствия нормативным требованиям.
Может ли этот навык помочь с требованиями соответствия, такими как SOC 2 или GDPR?
Да. Этот навык предоставляет практики безопасного написания кода, которые поддерживают требования соответствия, включая шифрование при хранении и передаче, аудиторское логирование, контроль доступа, минимизацию данных и безопасную обработку ошибок. Однако он не предоставляет юридические консультации по соответствию — консультируйтесь с экспертами по соответствию для конкретных регуляторных требований.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/backend-security-coder

Ссылка

main

Структура файлов

📄 SKILL.md