Навыки html-injection-testing
🛡️

html-injection-testing

Низкий риск ⚡ Содержит скрипты⚙️ Внешние команды🌐 Доступ к сети

Тестирование уязвимостей HTML-инъекций

Веб-приложения часто не способны должным образом обрабатывать пользовательский ввод, позволяя злоумышленникам внедрять вредоносный HTML-контент. Этот навык предоставляет комплексную методологию выявления недостатков HTML-инъекций через авторизованное тестирование безопасности.

Поддерживает: Claude Codex Code(CC)
⚠️ 66 Плохо
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «html-injection-testing». Тестировать параметр поиска на HTML-инъекцию

Ожидаемый результат:

  • Фаза 1: Выявлена точка инъекции в параметре /search?q=
  • Фаза 2: Результаты теста базового пейлоада: <h1>Test</h1> рендерится как заголовок — УЯЗВИМО
  • Фаза 3: Хранимая инъекция подтверждена — пейлоад сохраняется после перезагрузки страницы
  • Рекомендация: Внедрить кодирование вывода с помощью htmlspecialchars() или DOMPurify

Использование «html-injection-testing». Какие фишинговые пейлоады могут продемонстрировать риск HTML-инъекции?

Ожидаемый результат:

  • Демонстрационный пейлоад: Форма наложения, захватывающая учётные данные
  • Воздействие: Злоумышленник может собрать учётные данные пользователей через поддельную форму входа
  • Серьёзность: От средней до высокой в зависимости от ценности аутентификации
  • Исправление: Строгая валидация ввода и заголовки CSP

Аудит безопасности

Низкий риск
v1 • 2/25/2026

This is a legitimate educational security testing skill for authorized HTML injection vulnerability assessment. Static findings are false positives or expected content for security education. The skill teaches penetration testing methodologies for identifying and reporting HTML injection flaws in web applications. All examples are clearly educational and the skill includes proper remediation guidance.

1
Просканировано файлов
504
Проанализировано строк
7
находки
1
Всего аудитов
Проблемы среднего риска (2)
SKILL.md:429SKILL.md:433
innerHTML Assignment Examples
The skill contains examples of vulnerable innerHTML usage at lines 429 and 433. These are part of the 'Prevention and Remediation' section showing what NOT to do - they are educational examples of vulnerable patterns, not actual vulnerabilities in the skill itself.
SKILL.md:44-472
External Command Execution in Examples
The skill contains curl command examples for testing. These are standard security testing tools used for authorized vulnerability assessment. All examples target 'target.com' which is a placeholder domain, not real systems.
Проблемы низкого риска (2)
SKILL.md:119-382
Hardcoded URLs in Examples
Examples contain URLs to 'attacker.com' and similar domains. These are standard educational placeholders used in security training. No actual malicious infrastructure is referenced.
SKILL.md:314-339
Encoding and Obfuscation Techniques
The skill documents bypass techniques using various encoding methods (URL, HTML entities, Unicode). This is standard educational content for understanding filter evasion in security testing.

Факторы риска

⚡ Содержит скрипты (2)
SKILL.md:429 SKILL.md:433
⚙️ Внешние команды (60)
SKILL.md:44-57 SKILL.md:57-74 SKILL.md:74-85 SKILL.md:85-88 SKILL.md:88-99 SKILL.md:99-105 SKILL.md:105-125 SKILL.md:125-128 SKILL.md:128-137 SKILL.md:137-145 SKILL.md:145-160 SKILL.md:160-166 SKILL.md:166-172 SKILL.md:172-178 SKILL.md:178-186 SKILL.md:186-192 SKILL.md:192-198 SKILL.md:198-204 SKILL.md:204-228 SKILL.md:228-231 SKILL.md:231-233 SKILL.md:233-239 SKILL.md:239-261 SKILL.md:261-267 SKILL.md:267-277 SKILL.md:277-281 SKILL.md:281-287 SKILL.md:287-291 SKILL.md:291-298 SKILL.md:298-302 SKILL.md:302-308 SKILL.md:308-314 SKILL.md:314-339 SKILL.md:339-345 SKILL.md:345-353 SKILL.md:353-357 SKILL.md:357-362 SKILL.md:362-366 SKILL.md:366-397 SKILL.md:397-403 SKILL.md:403-412 SKILL.md:412-414 SKILL.md:414-422 SKILL.md:422-424 SKILL.md:424-434 SKILL.md:434-448 SKILL.md:448-449 SKILL.md:449-450 SKILL.md:450-451 SKILL.md:451-452 SKILL.md:452-453 SKILL.md:453-459 SKILL.md:459-469 SKILL.md:469 SKILL.md:469-470 SKILL.md:470 SKILL.md:470-471 SKILL.md:471 SKILL.md:471-472 SKILL.md:472
🌐 Доступ к сети (30)
SKILL.md:390 SKILL.md:119 SKILL.md:120 SKILL.md:123 SKILL.md:130 SKILL.md:133 SKILL.md:136 SKILL.md:150 SKILL.md:155 SKILL.md:168 SKILL.md:168 SKILL.md:171 SKILL.md:181 SKILL.md:185 SKILL.md:194 SKILL.md:197 SKILL.md:210 SKILL.md:221 SKILL.md:223 SKILL.md:232 SKILL.md:254 SKILL.md:270 SKILL.md:276 SKILL.md:283 SKILL.md:293 SKILL.md:304 SKILL.md:307 SKILL.md:371 SKILL.md:379 SKILL.md:382

Обнаруженные паттерны

False Positive: Windows SAM Database DetectionEducational Code Examples
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
21
Сообщество
76
Безопасность
96
Соответствие спецификации

Что вы можете построить

Консультант по безопасности, оценивающий клиентские веб-приложения

Пентестер, проводящий авторизованную оценку безопасности для клиента, нуждается в выявлении уязвимостей HTML-инъекций в их веб-приложениях и предоставлении комплексного отчёта с шагами по исправлению.

Разработчик, изучающий веб-безопасность

Веб-разработчик хочет понять уязвимости HTML-инъекций, чтобы писать более безопасный код и должным образом валидировать пользовательский ввод в своих приложениях.

QA-инженер, тестирующий обработку ввода

QA-инженеру необходимо убедиться, что обработка ввода приложением должным образом санирует HTML-контент и предотвращает атаки инъекций.

Попробуйте эти промпты

Базовый тест HTML-инъекции 
Используйте навык html-injection-testing, чтобы помочь мне протестировать, уязвима ли функция поиска нашего приложения к HTML-инъекциям. Параметр поиска — 'q', а URL — http://example.com/search
Оценка хранимой инъекции 
Помогите мне протестировать хранимую HTML-инъекцию в поле биографии профиля пользователя с помощью навыка html-injection-testing. Какие тестовые пейлоады следует использовать и как проверить, сохраняется ли инъекция?
Тестирование обхода фильтра 
Наше приложение утверждает, что фильтрует HTML-теги. Используя навык html-injection-testing, какие техники кодирования и обхода следует протестировать для проверки возможности обхода фильтра?
Верификация исправления 
После внедрения санизации ввода, как я могу использовать навык html-injection-testing для проверки эффективности исправления и убедиться, что векторов HTML-инъекций не осталось?

Лучшие практики

  • Всегда получайте письменное разрешение перед тестированием любого веб-приложения
  • Документируйте все находки со скриншотами proof-of-concept и парами запрос/ответ
  • Тестируйте как GET-, так и POST-параметры, включая скрытые поля и куки
  • Включайте рекомендации по исправлению в отчёт, чтобы помочь разработчикам исправить проблемы

Избегать

  • Тестирование продакшн-систем без явного разрешения
  • Использование обнаруженных уязвимостей для доступа или эксфильтрации данных
  • Фокус только на автоматизированных инструментах без ручной верификации
  • Сообщение о находках без предоставления чётких шагов воспроизведения

Часто задаваемые вопросы

В чём разница между HTML-инъекцией и XSS?
HTML-инъекция позволяет злоумышленникам внедрять вредоносный HTML-контент на веб-страницы, влияя только на внешний вид страницы. XSS (межсайтовый скриптинг) позволяет выполнение JavaScript-кода, что более серьёзно, так как может красть куки, токены сессий или выполнять действия от имени пользователя.
Может ли HTML-инъекция привести к компрометации аккаунта?
Да, через фишинговые атаки. Злоумышленники могут внедрять поддельные формы входа, которые выглядят легитимно, и захватывать учётные данные пользователей при отправке.
Какие инструменты рекомендуются для тестирования HTML-инъекций?
Burp Suite, OWASP ZAP и ручное тестирование с curl являются основными инструментами. Автоматизированные сканеры могут находить базовые точки инъекций, но для сложных сценариев необходимо ручное тестирование.
Как предотвратить HTML-инъекцию в моём веб-приложении?
Используйте кодирование вывода (htmlspecialchars в PHP, escape в Python), внедряйте заголовки Content Security Policy, валидируйте ввод по белым спискам и используйте современные фреймворки, которые автоматически экранируют по умолчанию.
Считается ли этичным тестирование на localhost?
Тестирование собственных систем или систем, которыми вы владеете, обычно допустимо. Всегда убедитесь, что у вас есть явное письменное разрешение для любой системы, которой вы не владеете.
Какова типичная серьёзность HTML-инъекции?
HTML-инъекция обычно имеет среднюю серьёзность, так как не может напрямую выполнять JavaScript. Однако в сочетании с фишингом или дефейсментом воздействие может быть высоким, особенно на сайтах с аутентификацией пользователей.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/html-injection-testing

Ссылка

main

Структура файлов

📄 SKILL.md