Навыки pentest-checklist

🛡️

pentest-checklist

Name: pentest-checklist
Author: sickn33

Безопасно

Планирование профессиональных тестов на проникновение

Этот навык предоставляет комплексную структуру для планирования и выполнения тестов на проникновение, обеспечивая надлежащую авторизацию, определение границ и последующие действия по устранению уязвимостей для эффективной оценки безопасности.

Поддерживает: Claude Codex Code(CC)

⚠️ 65 Плохо

Скачать ZIP навыка

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

Включите и начните использовать

Протестировать

Использование «pentest-checklist». Каковы ключевые фазы теста на проникновение?

Ожидаемый результат:

Пентест обычно следует пяти фазам: 1) Определение границ (цели, угрозы, границы), 2) Подготовка среды (настройка тестовой среды, базовое сканирование), 3) Выбор экспертизы (выбор поставщика, определение методологии), 4) Мониторинг (мониторинг безопасности, настройка логирования), 5) Устранение (анализ находок, проверка исправлений).

Использование «pentest-checklist». Что должно быть включено в документ о границах пентеста?

Ожидаемый результат:

Документ о границах пентеста должен включать: целевые системы (IP-адреса, домены, приложения), элементы вне границ, разрешенные техники тестирования, сроки и планирование, предоставляемые учетные данные, контакты для экстренных случаев, подтверждение юридической авторизации и требования соответствия.

Использование «pentest-checklist». Как оценить поставщиков услуг тестирования на проникновение?

Ожидаемый результат:

Оценивайте поставщиков по: проверке сертификаций (OSCP, GPEN, CEH, CREST), просмотру примеров отчетов на предмет качества и детализации, подтверждению опыта работы с похожими организациями, подтверждению соответствия методологии (OWASP, PTES), оценке процессов коммуникации и проверке рекомендаций от похожих клиентов.

Аудит безопасности

Безопасно

v1 • 2/24/2026

This skill is a documentation/guide for planning legitimate penetration tests. The static analyzer flagged example commands (nmap, nikto, tcpdump), tool references, and cloud provider documentation links. All flagged items are legitimate security testing educational content shown in markdown code blocks - they are not executable code. The skill emphasizes authorization, legal compliance, and proper scoping. All 31 static findings are FALSE POSITIVES.

Просканировано файлов

340

Проанализировано строк

находки

Всего аудитов

Проблемы высокого риска (4)

SKILL.md:109-115 SKILL.md:197-204 SKILL.md:321-322

Static Analyzer Flag: Example Security Tools Referenced

Example commands in code blocks (nmap, nikto, tcpdump, sudo) are LEGITIMATE security testing tools shown for educational purposes in markdown documentation. These are not executable by the skill - they are example references for users to understand pentest methodology.

SKILL.md:130-132

Static Analyzer Flag: Hardcoded URLs to Cloud Provider Docs

URLs to AWS, Azure, GCP security documentation are legitimate reference links for penetration testing policies.

SKILL.md:68 SKILL.md:138 SKILL.md:217 SKILL.md:248-255 SKILL.md:300

Static Analyzer Flag: System/Network Reconnaissance Keywords

Mentions of reconnaissance, scanning tools, and testing techniques are part of legitimate security education - explaining what pentesters test FOR, not how to attack without authorization.

SKILL.md:254

Static Analyzer Flag: Malware Type Keywords

Mentions of 'backdoors' appear in the cleanup procedure section - instructing users to REMOVE test artifacts, not create them.

Проверено: claude

Оценка качества

Архитектура

100

Сопровождаемость

Контент

Сообщество

Безопасность

Соответствие спецификации

Что вы можете построить

Первая оценка безопасности

Менеджер по безопасности, планирующий первую внешнюю оценку безопасности для своей организации, использует этот навык для понимания определения границ, бюджетирования и критериев выбора поставщика услуг.

Планирование ежегодного пентеста

IT-директор планирует регулярные тесты на проникновение и использует навык для обеспечения надлежащей авторизации, подготовки среды и отслеживания устранения уязвимостей.

Координация учений Red Team

Руководитель красной команды использует навык для координации полномасштабных учений по симуляции противника, включая определение границ, правила взаимодействия и очистку после учений.

Попробуйте эти промпты

Базовое планирование пентеста

Помогите мне спланировать тест на проникновение для веб-приложения моей компании. Каковы ключевые фазы, которым я должен следовать?

Определение границ пентеста

Что я должен включить в документ о границах тестирования для пентеста веб-приложения? Какие системы обычно входят в границы, а какие исключаются?

Выбор типа тестирования

В чем разница между тестированием на проникновение по методу черного ящика, серого ящика и белого ящика? Какой метод выбрать для оценки внешней сети?

Планирование устранения

После получения результатов пентеста, как мне приоритезировать и отслеживать устранение обнаруженных уязвимостей?

Лучшие практики

Всегда получайте письменную юридическую авторизацию перед тестированием
Определяйте четкие границы и документируйте исключения
Планируйте тестирование на периоды низкой нагрузки
Обеспечивайте комплексное логирование и мониторинг во время тестирования
Планируйте время на устранение и проверочное тестирование после получения результатов

Избегать

Тестирование в production-среде без надлежащих защитных мер
Пропуск фазы документирования авторизации
Разрешение неограниченных границ тестирования без ограничений
Игнорирование находок, которые кажутся низкой серьезности
Отсутствие планирования последующего проверочного тестирования

Часто задаваемые вопросы

Является ли этот навык заменой профессиональным тестировщикам на проникновение?

Нет. Этот навык предоставляет руководство по планированию и чек-листы. Профессиональные тестировщики на проникновение с надлежащими сертификациями (OSCP, GPEN) должны выполнять фактическое тестирование.

Какие типы тестов на проникновение я могу планировать с этим навыком?

Вы можете планировать внешние пентесты сети, внутренние пентесты сети, тесты веб-приложений, оценки социальной инженерии и учения red team.

Как часто я должен проводить тесты на проникновение?

Ежегодное тестирование является минимальным для большинства организаций. Среды с высоким риском, частые изменения или регуляторные требования (PCI-DSS) могут требовать ежеквартального или непрерывного тестирования.

Какие фреймворки соответствия охватывает этот навык?

Навык ссылается на требования соответствия GDPR, PCI-DSS и HIPAA для тестирования безопасности.

Могу ли я использовать этот навык для программ bug bounty?

Да, навык упоминает bug bounty как альтернативу или дополнение к традиционному тестированию на проникновение для непрерывной оценки безопасности.

Что мне делать с находками пентеста?

Приоритезируйте находки по серьезности риска, разрабатывайте планы устранения, внедряйте исправления и планируйте проверочное тестирование для подтверждения устранения уязвимостей.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/pentest-checklist

Ссылка

main

Структура файлов

📄 SKILL.md