Навыки Cross-Site Scripting and HTML Injection Testing
🛡️

Cross-Site Scripting and HTML Injection Testing

Низкий риск ⚡ Содержит скрипты🌐 Доступ к сети

Тестирование веб-приложений на уязвимости XSS

Веб-приложения сталкиваются с постоянными угрозами XSS-атак, которые компрометируют пользовательские сессии и данные. Этот навык предоставляет специалистам по безопасности систематические методики тестирования для выявления и устранения уязвимостей клиентских инъекций до того, как ими воспользуются злоумышленники.

Поддерживает: Claude Codex Code(CC)
⚠️ 67 Плохо
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «Cross-Site Scripting and HTML Injection Testing». Тестирование параметра поиска ?q= на отражённый XSS

Ожидаемый результат:

УЯЗВИМО: Входные данные отражаются без кодирования. Payload <img src=x onerror=alert(document.domain)> выполняется успешно. Сервер возвращает поисковый запрос в HTML теле без HTML entity кодирования, позволяя произвольное выполнение скриптов.

Использование «Cross-Site Scripting and HTML Injection Testing». Анализ поля комментария на stored XSS с CSP защитой

Ожидаемый результат:

ЗАЩИЩЕНО: Хотя ввод сохраняется и отражается, CSP заголовок 'script-src 'self'' блокирует выполнение inline скриптов. Альтернативные векторы (JSONP endpoints, data: URI) также блокируются CSP. Рекомендуем поддерживать текущую конфигурацию CSP.

Использование «Cross-Site Scripting and HTML Injection Testing». Тестирование DOM XSS в маршрутизации single-page приложения

Ожидаемый результат:

УЯЗВИМО: Параметр маршрута записывается в innerHTML на строке 47 без санитизации. URL /profile/<img src=x onerror=alert(1)> запускает выполнение скрипта. Только клиентская атака - payload никогда не попадает в серверные логи.

Аудит безопасности

Низкий риск
v1 • 2/24/2026

This skill is documentation for authorized XSS and HTML injection security testing. Static analyzer flagged markdown code examples as threats, but these are educational payloads for penetration testers, not executable malicious code. The skill includes proper legal/ethical guardrails requiring written authorization. Risk is low as content is instructional documentation, not functional exploit code.

1
Просканировано файлов
500
Проанализировано строк
3
находки
1
Всего аудитов
Проблемы низкого риска (1)
SKILL.md:125-149
Offensive Security Content
Skill contains detailed instructions for cookie theft, session hijacking, and keylogger injection. While educational, this content could be misused by bad actors without proper authorization frameworks.

Факторы риска

⚡ Содержит скрипты (1)
SKILL.md:188-196
🌐 Доступ к сети (2)
SKILL.md:122-137 SKILL.md:373-388
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
32
Сообщество
88
Безопасность
74
Соответствие спецификации

Что вы можете построить

Аудит безопасности веб-приложений

Проведение комплексной оценки XSS уязвимостей на клиентских сайтах перед развёртыванием для выявления инъекционных уязвимостей, которые могут скомпрометировать пользовательские данные и сессии.

Обучение разработчиков безопасности

Использование примеров XSS и payload'ов в контролируемых лабораторных средах для обучения команд разработки причинам уязвимостей инъекций и техникам предотвращения.

Исследование для Bug Bounty

Систематическое тестирование приложений в области действия на XSS уязвимости с использованием документированных payload'ов и техник обхода для обнаружения подлежащих отчёту проблем безопасности.

Попробуйте эти промпты

Базовое обнаружение XSS 
Проанализируй это поле ввода веб-приложения на XSS уязвимости. Протестируй с базовыми payload'ами типа <script>alert(1)</script> и <img src=x onerror=alert(1)>. Сообщи, отражается ли ввод и выполняются ли скрипты.
Оценка Stored XSS 
Протестируй систему комментариев в этом блоге на stored XSS. Создай тестовый аккаунт, отправь payload'ы в теле комментариев, затем проверь, сохраняются ли они и выполняются ли для других пользователей. Документируй точку инъекции и payload, который сработал.
Анализ DOM-based XSS 
Изучи JavaScript код, обрабатывающий фрагменты URL hash и события postMessage. Выяви опасные sinks типа innerHTML и eval, которые обрабатывают пользовательские данные. Предоставь эксплуатационные payload'ы для каждой найденной уязвимой конструкции.
Тестирование обхода CSP 
Целевой сайт имеет CSP заголовок с script-src 'self' https://cdn.trusted.com. Найди JSONP endpoints на доверенном CDN, которые можно использовать для выполнения произвольного JavaScript. Протестируй каждый endpoint с callback alert(1).

Лучшие практики

  • Всегда получай письменное разрешение, определяющее область, цели и процедуры обработки данных перед тестированием
  • Используй изолированные тестовые аккаунты и среды, чтобы не затрагивать реальных пользователей или продакшн данные
  • Документируй все находки с шагами воспроизведения, оценками критичности и руководствами по устранению для разработчиков

Избегать

  • Никогда не тестируй XSS payload'ы на продакшн системах без явного письменного разрешения от владельца
  • Не используй worm-подобные payload'ы, которые автоматически распространяются на других пользователей за пределами твоей тестовой области
  • Избегай эксфильтрации реальных пользовательских данных - захватывай только свои тестовые cookie для демонстрационных целей

Часто задаваемые вопросы

Законно ли использовать этот навык?
Только когда у тебя есть явное письменное разрешение от владельца системы. Несанкционированное XSS тестирование нарушает законы о компьютерных преступлениях в большинстве юрисдикций. Всегда определяй область, цели и обработку данных в подписанном соглашении перед тестированием.
В чём разница между XSS и HTML инъекцией?
XSS включает выполнение JavaScript в браузере жертвы, позволяя кражу сессий и действия от имени пользователя. HTML инъекция только рендерит HTML контент без выполнения скриптов, обычно используется для фишинга или дефейса, но с меньшим воздействием.
Почему payload'ы не работают на современных сайтах?
Современные фреймворки типа React, Angular и Vue автоматически экранируют вывод по умолчанию. Дополнительно, заголовки Content Security Policy, библиотеки санитизации ввода и WAF блокируют многие традиционные XSS векторы. Тестируй множественные техники обхода и варианты кодирования.
Может ли этот навык тестировать blind XSS?
Blind XSS требует внешних callback серверов для обнаружения отложенного выполнения, когда payload'ы сохраняются и просматриваются позже администраторами. Этот навык документирует техники, но ты должен настроить свою собственную callback инфраструктуру для blind XSS тестирования.
Что делать, если я нашёл критические XSS уязвимости?
Документируй уязвимость с шагами воспроизведения и демонстрацией воздействия, используя только alert(1) - не кради реальные данные. Немедленно Сообщи владельцу системы согласно вашему соглашению об авторизации. Следуй практикам ответственного раскрытия.
Работает ли это на мобильных приложениях?
Мобильные приложения, использующие WebView компоненты, могут быть уязвимы к XSS, если загружают веб-контент или принимают URL. Те же принципы тестирования применяются, но нужно перехватывать трафик приложения, используя инструменты типа Burp Suite или Frida для инспекции WebView.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/web-app/public/skills/xss-html-injection

Ссылка

main

Структура файлов

📄 SKILL.md