security-audit
运行全面安全审计
也可从以下获取: Consiliency,Joseph OBrien,Joseph OBrien,AppleLamps,ClementWalter
此工作流组合协调多个安全技能,用于对Web应用程序和API进行完整的渗透测试、漏洞评估和安全加固。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“security-audit”。 对我的REST API运行安全审计
预期结果:
我将按照结构化工作流对您的REST API进行全面的安全审计。
**第1阶段:侦察**
- 识别API端点和技术栈
- 收集暴露服务的情报
**第2阶段:漏洞扫描**
- 运行自动化漏洞扫描器
- 执行静态分析
- 扫描依赖项中的已知漏洞
**第4阶段:API安全测试**
- 枚举所有API端点
- 测试身份验证机制
- 测试速率限制绕过
- 测试输入验证和错误处理
是否需要我继续执行特定阶段?
正在使用“security-audit”。 帮助我测试SQL注入漏洞
预期结果:
我将使用@sql-injection-testing技能引导您完成SQL注入测试。
**测试方法:**
1. 确定应用程序中的注入点
2. 使用手动技术测试SQL注入
3. 使用自动化工具枚举漏洞
4. 为每个发现记录概念验证
是否需要我继续测试特定端点?
安全审计
安全All static findings are false positives. The 48 external_command detections are markdown code blocks using backticks for prompt examples, not actual shell execution. The Metasploit reference is a skill name to invoke, not tool execution. The weak crypto alerts are triggered by the word 'vulnerability' in context. This is a documentation-only workflow bundle with no executable code.
低风险问题 (3)
质量评分
你能构建什么
安全顾问审计客户Web应用
使用完整工作流按照行业标准方法进行全面的安全评估。
开发人员保护自己的应用程序
使用漏洞扫描和加固阶段在生产部署前发现并修复安全问题。
DevSecOps团队运行自动化扫描
将扫描阶段集成到CI/CD管道中以进行持续安全验证。
试试这些提示
使用@security-audit对我的Web应用程序运行全面的安全审计。从侦察开始,依次完成所有阶段。
使用@security-audit对我的应用程序执行第2阶段漏洞扫描。重点关注自动化扫描器结果。
使用@security-audit进行第4阶段API安全测试。测试身份验证、速率限制和输入验证。
使用@security-audit第7阶段报告记录所有发现,并为发现的漏洞创建修复计划。
最佳实践
- 在测试任何目标之前获得书面授权
- 按照工作流阶段的顺序进行以获得全面覆盖
- 使用概念验证证据记录所有发现
- 使用OWASP Top 10清单作为最低覆盖基准
避免
- 未经适当授权运行渗透测试
- 跳过侦察阶段直接进行利用
- 忽视自动化扫描器的发现而不进行手动验证
- 无法使用可重现步骤记录发现