security-audit
Запуск комплексного аудита безопасности
Также доступно от: Joseph OBrien,Joseph OBrien,AppleLamps,ClementWalter,Consiliency
Этот набор рабочих процессов координирует несколько навыков безопасности для проведения полномасштабных тестов на проникновение, оценки уязвимостей и усиления безопасности веб-приложений и API.
Скачать ZIP навыка
Загрузить в Claude
Перейдите в Settings → Capabilities → Skills → Upload skill
Включите и начните использовать
Протестировать
Использование «security-audit». Run a security audit on my REST API
Ожидаемый результат:
I will conduct a comprehensive security audit of your REST API following our structured workflow.
**Phase 1: Reconnaissance**
- Identify API endpoints and technology stack
- Gather intelligence on exposed services
**Phase 2: Vulnerability Scanning**
- Run automated vulnerability scanners
- Perform static analysis
- Scan dependencies for known vulnerabilities
**Phase 4: API Security Testing**
- Enumerate all API endpoints
- Test authentication mechanisms
- Test for rate limiting bypasses
- Test input validation and error handling
Shall I proceed with any specific phase?
Использование «security-audit». Help me test for SQL injection vulnerabilities
Ожидаемый результат:
I will guide you through SQL injection testing using the @sql-injection-testing skill.
**Testing Approach:**
1. Identify injection points in your application
2. Test for SQL injection using manual techniques
3. Use automated tools to enumerate vulnerabilities
4. Document proof of concept for each finding
Would you like me to proceed with testing specific endpoints?
Аудит безопасности
БезопасноAll static findings are false positives. The 48 external_command detections are markdown code blocks using backticks for prompt examples, not actual shell execution. The Metasploit reference is a skill name to invoke, not tool execution. The weak crypto alerts are triggered by the word 'vulnerability' in context. This is a documentation-only workflow bundle with no executable code.
Проблемы низкого риска (3)
Оценка качества
Что вы можете построить
Аудит клиентского веб-приложения консультантом по безопасности
Используйте полный рабочий процесс для проведения комплексной оценки безопасности в соответствии со стандартными отраслевыми методологиями.
Разработчик защищает собственное приложение
Используйте сканирование уязвимостей и этапы усиления безопасности для поиска и исправления проблем безопасности перед развёртыванием в продакшене.
Команда DevSecOps выполняет автоматизированные сканирования
Интегрируйте этапы сканирования в конвейеры CI/CD для непрерывной проверки безопасности.
Попробуйте эти промпты
Use @security-audit to run a comprehensive security audit on my web application. Start with reconnaissance and work through all phases.
Use @security-audit to perform Phase 2 vulnerability scanning on my application. Focus on automated scanner results.
Use @security-audit to conduct Phase 4 API security testing. Test authentication, rate limiting, and input validation.
Use @security-audit Phase 7 reporting to document all findings and create a remediation plan for the vulnerabilities found.
Лучшие практики
- Всегда получайте письменное разрешение перед тестированием любой цели
- Следуйте этапам рабочего процесса по порядку для комплексного покрытия
- Документируйте все находки с доказательствами proof of concept
- Используйте контрольный список OWASP Top 10 как минимальную базовую основу покрытия
Избегать
- Запуск тестов на проникновение без надлежащего разрешения
- Пропуск разведки и немедленный переход к эксплуатации
- Игнорирование результатов автоматизированных сканеров без ручной проверки
- Недокументирование находок с воспроизводимыми шагами