backend-security-coder
安全后端代码专家
构建安全的后端应用程序,提供身份认证、API 安全、输入验证和漏洞防护方面的专家指导。为现代后端开发提供防御性编程技术和安全优先的实现模式。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“backend-security-coder”。 为用户注册实现安全的密码存储
预期结果:
密码存储实现使用工作因子为 12 的 bcrypt,包括为每个密码生成唯一盐值,并实现密码强度验证。系统从不存储明文密码,并使用恒定时间比较来防止时序攻击。
正在使用“backend-security-coder”。 审查此登录端点的安全问题
预期结果:
登录端点存在三个安全问题:1) 缺少速率限制允许暴力破解攻击,2) 错误消息泄露用户名是否存在,3) 没有账户锁定机制。建议的修复措施包括实施指数退避速率限制、通用错误消息以及在多次失败尝试后临时锁定账户。
正在使用“backend-security-coder”。 为我的表单添加 CSRF 防护
预期结果:
CSRF 防护实现包括:1) 使用加密安全的随机字节生成抗 CSRF 令牌,2) 对所有状态更改请求进行令牌验证,3) SameSite=Strict Cookie 属性,4) 对 API 请求进行 Origin 头验证,以及 5) 双重提交 Cookie 模式以提供额外防护。
安全审计
安全Prompt-only skill with no executable code. The skill provides comprehensive guidance on secure backend coding practices including input validation, authentication, API security, and vulnerability prevention. No security risks detected.
质量评分
你能构建什么
安全 API 开发
构建具有适当身份认证、速率限制和输入验证的安全 REST API,以防止注入和身份认证绕过等常见攻击向量。
身份认证系统实现
根据 OWASP 指南实现安全的用户身份认证,包括 JWT、OAuth、多因素身份认证和安全会话管理。
安全代码审查
审查现有后端代码中的安全漏洞,包括注入风险、身份认证缺陷和不安全的数据处理,并提供可操作的修复步骤。
试试这些提示
Implement a secure user authentication system using JWT. Include password hashing with bcrypt, refresh token rotation, and secure session management.
Review and secure this API endpoint against injection attacks. Add input validation, rate limiting, and proper error handling.
Configure secure database access with parameterized queries, proper access controls, and field-level encryption for sensitive data.
Implement comprehensive CSRF protection with anti-CSRF tokens, SameSite cookie attributes, and header validation for state-changing operations.
最佳实践
- 始终使用参数化查询和预处理语句来防止 SQL 注入攻击
- 通过输入验证、身份认证和授权等多层安全措施实现纵深防御
- 对数据库访问、API 权限和文件系统操作应用最小权限原则
避免
- 切勿将用户输入直接拼接到数据库查询或命令字符串中
- 避免在错误消息、日志或 API 响应中泄露敏感信息
- 不要实现自定义身份认证或加密 - 使用成熟的库和协议