技能 html-injection-testing
🛡️

html-injection-testing

低风险 ⚡ 包含脚本⚙️ 外部命令🌐 网络访问

HTML 注入漏洞测试

Web 应用程序经常未能正确清理用户输入,使攻击者能够注入恶意 HTML 内容。本技能提供通过授权安全测试识别 HTML 注入缺陷的综合方法论。

支持: Claude Codex Code(CC)
📊 70 充足
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“html-injection-testing”。 测试搜索参数是否存在 HTML 注入

预期结果:

  • 阶段 1:在 /search?q= 参数识别注入点
  • 阶段 2:基础 payload 测试结果:<h1>Test</h1> 渲染为标题 - 存在漏洞
  • 阶段 3:确认存储型注入 - payload 在页面重载后仍然存在
  • 建议:使用 htmlspecialchars() 或 DOMPurify 实施输出编码

正在使用“html-injection-testing”。 什么钓鱼 payload 可以展示 HTML 注入风险?

预期结果:

  • 演示 payload:覆盖表单捕获凭据
  • 影响:攻击者可以通过虚假登录表单获取用户凭据
  • 严重程度:中到高,取决于身份验证值
  • 修复:严格的输入验证和 CSP 头

安全审计

低风险
v1 • 2/25/2026

This is a legitimate educational security testing skill for authorized HTML injection vulnerability assessment. Static findings are false positives or expected content for security education. The skill teaches penetration testing methodologies for identifying and reporting HTML injection flaws in web applications. All examples are clearly educational and the skill includes proper remediation guidance.

1
已扫描文件
504
分析行数
7
发现项
1
审计总数
中风险问题 (2)
SKILL.md:429SKILL.md:433
innerHTML Assignment Examples
The skill contains examples of vulnerable innerHTML usage at lines 429 and 433. These are part of the 'Prevention and Remediation' section showing what NOT to do - they are educational examples of vulnerable patterns, not actual vulnerabilities in the skill itself.
SKILL.md:44-472
External Command Execution in Examples
The skill contains curl command examples for testing. These are standard security testing tools used for authorized vulnerability assessment. All examples target 'target.com' which is a placeholder domain, not real systems.
低风险问题 (2)
SKILL.md:119-382
Hardcoded URLs in Examples
Examples contain URLs to 'attacker.com' and similar domains. These are standard educational placeholders used in security training. No actual malicious infrastructure is referenced.
SKILL.md:314-339
Encoding and Obfuscation Techniques
The skill documents bypass techniques using various encoding methods (URL, HTML entities, Unicode). This is standard educational content for understanding filter evasion in security testing.

风险因素

⚡ 包含脚本 (2)
SKILL.md:429 SKILL.md:433
⚙️ 外部命令 (60)
SKILL.md:44-57 SKILL.md:57-74 SKILL.md:74-85 SKILL.md:85-88 SKILL.md:88-99 SKILL.md:99-105 SKILL.md:105-125 SKILL.md:125-128 SKILL.md:128-137 SKILL.md:137-145 SKILL.md:145-160 SKILL.md:160-166 SKILL.md:166-172 SKILL.md:172-178 SKILL.md:178-186 SKILL.md:186-192 SKILL.md:192-198 SKILL.md:198-204 SKILL.md:204-228 SKILL.md:228-231 SKILL.md:231-233 SKILL.md:233-239 SKILL.md:239-261 SKILL.md:261-267 SKILL.md:267-277 SKILL.md:277-281 SKILL.md:281-287 SKILL.md:287-291 SKILL.md:291-298 SKILL.md:298-302 SKILL.md:302-308 SKILL.md:308-314 SKILL.md:314-339 SKILL.md:339-345 SKILL.md:345-353 SKILL.md:353-357 SKILL.md:357-362 SKILL.md:362-366 SKILL.md:366-397 SKILL.md:397-403 SKILL.md:403-412 SKILL.md:412-414 SKILL.md:414-422 SKILL.md:422-424 SKILL.md:424-434 SKILL.md:434-448 SKILL.md:448-449 SKILL.md:449-450 SKILL.md:450-451 SKILL.md:451-452 SKILL.md:452-453 SKILL.md:453-459 SKILL.md:459-469 SKILL.md:469 SKILL.md:469-470 SKILL.md:470 SKILL.md:470-471 SKILL.md:471 SKILL.md:471-472 SKILL.md:472
🌐 网络访问 (30)
SKILL.md:390 SKILL.md:119 SKILL.md:120 SKILL.md:123 SKILL.md:130 SKILL.md:133 SKILL.md:136 SKILL.md:150 SKILL.md:155 SKILL.md:168 SKILL.md:168 SKILL.md:171 SKILL.md:181 SKILL.md:185 SKILL.md:194 SKILL.md:197 SKILL.md:210 SKILL.md:221 SKILL.md:223 SKILL.md:232 SKILL.md:254 SKILL.md:270 SKILL.md:276 SKILL.md:283 SKILL.md:293 SKILL.md:304 SKILL.md:307 SKILL.md:371 SKILL.md:379 SKILL.md:382

检测到的模式

False Positive: Windows SAM Database DetectionEducational Code Examples
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
50
社区
76
安全
96
规范符合性

你能构建什么

安全顾问评估客户 Web 应用程序

渗透测试人员为客户进行授权安全评估,需要识别其 Web 应用程序中的 HTML 注入漏洞,并提供包含修复步骤的综合报告。

开发者学习 Web 安全

Web 开发者希望了解 HTML 注入漏洞,以编写更安全的代码并在其应用程序中正确验证用户输入。

QA 工程师测试输入处理

QA 工程师需要验证应用程序的输入处理是否正确清理 HTML 内容并防止注入攻击。

试试这些提示

基础 HTML 注入测试 
使用 html-injection-testing 技能帮我测试我们应用程序的搜索功能是否存在 HTML 注入漏洞。搜索参数是 'q',URL 是 http://example.com/search
存储型注入评估 
使用 html-injection-testing 技能帮我测试用户个人资料 bio 字段是否存在存储型 HTML 注入。应该使用什么测试 payload,如何验证注入是否被存储?
绕过过滤器测试 
我们的应用程序声称过滤 HTML 标签。使用 html-injection-testing 技能,应该测试什么编码和绕过技术来验证过滤器是否可以被绕过?
修复验证 
在实现输入清理后,如何使用 html-injection-testing 技能验证修复是否有效且不存在 HTML 注入向量?

最佳实践

  • 在测试任何 Web 应用程序之前始终获得书面授权
  • 使用概念验证截图和请求/响应对记录所有发现
  • 测试 GET 和 POST 参数,包括隐藏字段和 cookies
  • 在报告中包含修复指导以帮助开发人员修复问题

避免

  • 在未获得明确授权的情况下测试生产系统
  • 利用发现的漏洞访问或窃取数据
  • 仅关注自动化工具而不进行手动验证
  • 报告发现时未提供清晰的重现步骤

常见问题

HTML 注入和 XSS 有什么区别?
HTML 注入允许攻击者将恶意 HTML 内容注入到 Web 页面中,仅影响页面外观。XSS(跨站脚本)允许执行 JavaScript 代码,这更严重,因为它可以窃取 cookies、会话令牌或代表用户执行操作。
HTML 注入会导致账户泄露吗?
是的,通过网络钓鱼攻击。攻击者可以注入看起来合法的虚假登录表单,并在提交时捕获用户凭据。
推荐使用什么工具进行 HTML 注入测试?
Burp Suite、OWASP ZAP 和手动测试是主要工具。自动扫描器可以发现基本注入点,但复杂场景需要手动验证。
如何在 Web 应用程序中防止 HTML 注入?
使用输出编码(PHP 中的 htmlspecialchars、Python 中的 escape),实施内容安全策略头,针对允许列表验证输入,并使用默认自动转义的现代框架。
在 localhost 上测试是否符合道德规范?
在自己的系统或您拥有的系统上测试通常是可接受的。始终确保对您不拥有的任何系统都有明确的书面授权。
HTML 注入的典型严重程度是什么?
HTML 注入通常是中等严重程度,因为它无法直接执行 JavaScript。但是,当与网络钓鱼或页面篡改结合使用时,影响可能很高,特别是在具有用户身份验证的网站上。

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/html-injection-testing

引用

main

文件结构

📄 SKILL.md