Навыки web-security-testing
🛡️

web-security-testing

Безопасно

Тестирование веб-приложений на уязвимости OWASP Top 10

Этот рабочий процесс направляет вас через комплексное тестирование безопасности веб-приложений, следуя методологии OWASP Top 10, от разведки до отчётности.

Поддерживает: Claude Codex Code(CC)
⚠️ 68 Плохо
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «web-security-testing». Use @web-security-testing to test my web application at https://example.com

Ожидаемый результат:

  • Начало фазы 1: Разведка
  • - Картирование поверхности приложения
  • - Идентификация используемых технологий
  • - Обнаружение эндпоинтов
  • - Поиск поддоменов
  • - Документирование первоначальных находок
  • Готово к переходу к фазе 2: Тестирование инъекций

Использование «web-security-testing». We are in Phase 3 of @web-security-testing. Test for XSS in the search feature.

Ожидаемый результат:

  • Фаза 3: XSS-тестирование
  • Тестирование векторов: reflected, stored, DOM-based
  • Тест-кейсы для выполнения:
  • - <script>alert(1)</script>
  • - <img src=x onerror=alert(1)>
  • - <svg onload=alert(1)>
  • Документировать все успешные обходы с proof of concept

Аудит безопасности

Безопасно
v1 • 2/25/2026

Static analysis flagged 33 potential issues (31 external_commands, 2 weak cryptographic algorithms). After evaluation, all findings are FALSE POSITIVES. The external_commands detections are markdown code formatting (backticks) used for skill references like @scanning-tools, not actual shell execution. The cryptographic flags are false positives from keywords in the OWASP checklist. This is a legitimate security testing workflow with no malicious code.

1
Просканировано файлов
185
Проанализировано строк
2
находки
1
Всего аудитов

Проблемы высокого риска (1)

SKILL.md:3SKILL.md:164
Weak Cryptographic Algorithm Detection
Scanner flagged lines 3 and 164 for weak cryptographic algorithm. Line 3 is YAML frontmatter description. Line 164 is OWASP category 'A04: Insecure Design'. No cryptographic code present.
Проблемы среднего риска (1)
SKILL.md:31-32SKILL.md:42-44SKILL.md:49-50SKILL.md:60-66SKILL.md:71-72SKILL.md:82-84SKILL.md:89-101SKILL.md:106-107SKILL.md:117-123SKILL.md:128-140SKILL.md:145-157SKILL.md:182-183
External Commands Detection
Scanner flagged 31 instances of 'Ruby/shell backtick execution' at various lines. These are markdown inline code formatting (backticks) used for skill references like `@scanning-tools`, not shell commands.
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
85
Контент
32
Сообщество
90
Безопасность
83
Соответствие спецификации

Что вы можете построить

Комплексная оценка безопасности

Проведение полного аудита безопасности веб-приложения с использованием структурированной методологии OWASP Top 10 с детальным поэтапным тестированием.

Разведка для bug bounty

Использование рабочего процесса для bug bounty hunting с целью систематического тестирования целевых приложений на уязвимости структурированным способом.

Валидация безопасности

Валидация правильной реализации контролей безопасности в веб-приложении перед развёртыванием в production.

Попробуйте эти промпты

Начать тестирование безопасности 
Use @web-security-testing to test my web application for security vulnerabilities. Target: [URL]
Тестирование инъекций 
We are in Phase 2 of @web-security-testing. Test for SQL injection on the login form at [URL] with parameter [param]
Оценка XSS 
Following Phase 3 of @web-security-testing, test for XSS vulnerabilities in the comment section at [URL]
Полный отчёт по безопасности 
We have completed all phases of @web-security-testing. Generate a security report summarizing findings and remediation steps.

Лучшие практики

  • Всегда получайте надлежащую авторизацию перед тестированием любого приложения
  • Следуйте фазам рабочего процесса по порядку для комплексного охвата
  • Документируйте все находки с proof of concept для каждой уязвимости
  • Вызывайте referenced skills для специализированного тестирования в каждой фазе

Избегать

  • Пропуск фаз — каждая фаза строится на предыдущей разведке
  • Тестирование в production без авторизации
  • Недокументирование находок с шагами воспроизведения
  • Игнорирование находок низкой серьёзности без надлежащей оценки рисков

Часто задаваемые вопросы

Выполняет ли этот навык реальные эксплойты?
Нет. Это навык руководства рабочим процессом, который предоставляет методологию тестирования и подсказки. Он не выполняет эксплойты и не запускает инструменты напрямую.
Нужны ли другие навыки для использования этого рабочего процесса?
Да. Этот рабочий процесс ссылается на другие навыки, такие как @scanning-tools, @sql-injection-testing, @xss-html-injection и @broken-authentication для конкретных фаз тестирования.
Подходит ли это для тестирования в production?
Только с надлежащим письменным разрешением. Всегда убеждайтесь, что у вас есть явное разрешение перед тестированием любого веб-приложения.
Какие категории OWASP охвачены?
Охвачены все категории OWASP Top 10 2021, включая инъекции, нарушенную аутентификацию, раскрытие конфиденциальных данных, XML external entities, нарушенный контроль доступа, неправильную конфигурацию безопасности, cross-site scripting, небезопасную десериализацию, использование уязвимых компонентов и недостаточное логирование.
Могу ли я настроить этот рабочий процесс?
Да. Фазы рабочего процесса могут быть адаптированы в зависимости от вашего целевого приложения и области охвата. Добавляйте или изменяйте фазы по мере необходимости для вашей оценки.
Какой формат вывода использовать для отчётов?
Следуйте руководствам фазы отчётности для документирования уязвимостей с серьёзностью, proof of concept и шагами исправления. Используйте стандартные отраслевые форматы.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/web-security-testing

Ссылка

main

Структура файлов

📄 SKILL.md