技能 laravel-security-audit
🛡️

laravel-security-audit

安全

审计 Laravel 应用的安全漏洞

Laravel 开发者需要确保他们的应用程序遵循安全最佳实践。本技能提供基于 OWASP 标准和 Laravel 特定安全知识的全面安全审计。

支持: Claude Codex Code(CC)
🥉 74 青铜
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“laravel-security-audit”。 审查一个按 ID 获取用户帖子的 Laravel 控制器

预期结果:

  • 问题:缺少授权检查
  • 风险:高
  • 问题:控制器在获取帖子时未验证所有权或用户权限。
  • 漏洞利用:已认证的用户可以通过更改 ID 参数来访问其他用户的帖子。
  • 修复:添加策略检查或将查询范围限定为已认证用户的帖子。
  • 示例:Post::where('user_id', auth()->id())->findOrFail($id)

正在使用“laravel-security-audit”。 审查文件上传验证逻辑

预期结果:

  • 问题:文件类型验证不足
  • 风险:中
  • 问题:仅检查文件扩展名,缺少 MIME 类型验证。
  • 漏洞利用:攻击者可以上传伪装成图片的 PHP 文件。
  • 修复:使用 Laravel 的 mimeTypes 验证规则并将文件存储在公共目录之外。
  • 示例:$request->file('avatar')->validate(['mimes:jpg,png', 'max:2048'])

安全审计

安全
v1 • 2/25/2026

All static analysis findings are false positives. This is an educational/documentation skill containing prompt instructions for security auditing, not executable code. The detected patterns (external_commands, network, env_access) are references to security concepts being taught, not actual vulnerable code. No security risks identified.

1
已扫描文件
224
分析行数
0
发现项
1
审计总数
未发现安全问题
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
50
社区
100
安全
91
规范符合性

你能构建什么

部署前安全审查

在将 Laravel 应用程序部署到生产环境之前,审查代码以识别安全漏洞。

代码审查辅助

将安全分析集成到拉取请求审查中,以便及早发现漏洞。

遗留代码审计

评估现有 Laravel 应用程序的安全债务和配置错误。

试试这些提示

基本安全检查 
审查此 Laravel 控制器的安全漏洞。检查适当的授权、输入验证和常见的 OWASP 问题。
完整应用审计 
对此 Laravel 应用程序进行全面的安全审计。分析身份认证、授权、输入验证、数据库查询、文件上传和 API 安全。按风险等级对每个发现进行分类。
认证流程审查 
审计此 Laravel 应用程序中的身份认证实现。检查密码哈希、会话管理、令牌处理和 Sanctum/JWT 配置的安全问题。
API 安全评估 
评估此 Laravel 应用程序的 API 端点是否存在安全漏洞。检查速率限制、授权、输入验证、响应清理和批量赋值保护。

最佳实践

  • 始终使用 FormRequest 类进行输入验证和授权
  • 对数据库和文件系统访问应用最小权限原则
  • 在所有公共 API 端点上启用速率限制以防止滥用

避免

  • 在创建或更新操作中使用 request()->all() 而不进行验证
  • 仅在控制器中检查授权而不执行策略
  • 在公共可访问目录中存储上传的文件而不进行验证

常见问题

此技能支持哪些 Laravel 版本?
此技能专为 Laravel 10 和 11+ 应用程序设计,但可以审计具有版本特定安全知识的老版本。
此技能能否自动扫描整个代码库?
该技能分析您提供的代码文件。对于大型代码库,请提供关键文件,如控制器、模型和中间件,以进行重点安全审查。
这能否替代渗透测试?
不能。此技能提供静态代码分析和安全指导。它是对专业渗透测试或动态安全扫描的补充,但不能替代它们。
这涵盖哪些 OWASP 类别?
覆盖范围包括注入、损坏的身份认证、敏感数据暴露、XML 外部实体、损坏的访问控制、安全配置错误、XSS、不安全的反序列化以及已知漏洞。
此技能能否自动修复漏洞?
该技能会识别漏洞并提供安全代码示例。您必须在代码库中手动审查并实施建议的修复。
使用此技能时,我的代码是否会被共享或存储?
代码分析在您的会话中进行。但是,请避免在任何代码片段中共享敏感凭证、API 密钥或生产环境密钥。

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/laravel-security-audit

引用

main

文件结构

📄 SKILL.md