Top 100 Web Vulnerabilities Reference
Мастер оценки веб-уязвимостей с использованием справочника OWASP
Специалисты по безопасности испытывают трудности с отслеживанием всего спектра уязвимостей веб-приложений. Этот комплексный справочник содержит 100 категоризированных уязвимостей с четкими определениями, первопричинами и практическими рекомендациями по устранению.
Скачать ZIP навыка
Загрузить в Claude
Перейдите в Settings → Capabilities → Skills → Upload skill
Включите и начните использовать
Протестировать
Использование «Top 100 Web Vulnerabilities Reference». Что такое Server-Side Request Forgery и как мне тестировать это?
Ожидаемый результат:
SSRF позволяет злоумышленникам выполнять запросы с вашего сервера к внутренним ресурсам. Тестируйте путем: (1) Идентификации URL-параметров, (2) Попыток использования внутренних IP-адресов (127.0.0.1, 169.254.169.254 для метаданных облака), (3) Использования out-of-band DNS callback для подтверждения. Смягчите с помощью allowlist URL, фильтрации исходящего трафика и сегментации сети.
Использование «Top 100 Web Vulnerabilities Reference». Дайте мне чек-лист для тестирования уязвимостей аутентификации.
Ожидаемый результат:
Чек-лист тестирования аутентификации: [ ] Session fixation - проверьте регенерацию session ID при входе, [ ] Brute force - протестируйте блокировку учетной записи и ограничение частоты запросов, [ ] Credential stuffing - проверьте обнаружение паролей из утечек, [ ] Session hijacking - проверьте случайность токенов и принудительное использование HTTPS, [ ] Remember me токены - оцените предсказуемость и срок действия, [ ] Обход CAPTCHA - протестируйте устойчивость к автоматической отправке.
Аудит безопасности
БезопасноThis skill is purely educational documentation about web security vulnerabilities. All 32 static analysis findings are false positives - the detected patterns appear in markdown code blocks and vulnerability descriptions, not executable code. The file contains no actual security risks and is safe for publication.
Оценка качества
Что вы можете построить
Планирование оценки безопасности
Используйте справочник уязвимостей для создания комплексных чек-листов тестирования для оценок безопасности веб-приложений, обеспечивая покрытие всех основных категорий уязвимостей.
Обучение разработчиков безопасности
Обучайте команды разработки распространенным паттернам уязвимостей, их первопричинам и практикам безопасного кодирования для предотвращения уязвимостей безопасности во время разработки.
Анализ реагирования на инциденты
Используйте определения уязвимостей и векторы атак при расследовании инцидентов безопасности для понимания потенциальных методов эксплуатации и масштаба.
Попробуйте эти промпты
Объясните уязвимость SQL Injection, включая её определение, первопричину, типичные последствия и рекомендуемые меры смягчения. Приведите простой пример того, как работает атака.
Сравните и сопоставьте атаки XSS, CSRF и clickjacking. Объясните, как работает каждая из них, что делает их различными и какие конкретные средства защиты от каждой из них.
Создайте комплексный чек-лист тестирования уязвимостей для оценки безопасности API. Включите тест-кейсы для уязвимостей аутентификации, уязвимостей внедрения, ограничения частоты запросов и рисков раскрытия данных.
Сопоставьте все уязвимости, связанные с аутентификацией, из справочника с категориями OWASP Top 10 2021. Для каждого сопоставления объясните взаимосвязь и определите любые пробелы в покрытии.
Лучшие практики
- Всегда верифицируйте результаты по уязвимостям вручную - автоматизированные сканеры выдают ложные срабатывания
- Адаптируйте рекомендации по устранению к вашему конкретному технологическому стеку и архитектуре
- Используйте сопоставление OWASP для приоритизации устранения на основе официально признанных рейтингов рисков
Избегать
- Применение мер смягчения без понимания основной первопричины
- Полная зависимость от автоматизированного сканирования без ручной верификации
- Непоследовательная реализация элементов управления безопасностью на конечных точках приложения