Top 100 Web Vulnerabilities Reference
掌握基于 OWASP 参考的 Web 漏洞评估
安全专业人员难以全面追踪 Web 应用程序漏洞的完整范围。此综合参考提供了 100 个分类漏洞,包含清晰的定义、根本原因和可操作的缓解措施。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“Top 100 Web Vulnerabilities Reference”。 什么是服务器端请求伪造 (SSRF),我该如何测试?
预期结果:
SSRF 允许攻击者从您的服务器向内部资源发起请求。测试方法:(1) 识别 URL 参数,(2) 尝试内部 IP 地址(127.0.0.1、169.254.169.254 用于云元数据),(3) 使用带外 DNS 回调进行确认。通过 URL 白名单、出口过滤和网络分段进行缓解。
正在使用“Top 100 Web Vulnerabilities Reference”。 给我一份测试身份验证漏洞的检查清单。
预期结果:
身份验证测试检查清单:[ ] 会话固定 - 检查登录时会话 ID 是否重新生成,[ ] 暴力破解 - 测试账户锁定和速率限制,[ ] 凭证填充 - 验证泄露密码检测,[ ] 会话劫持 - 验证令牌随机性和 HTTPS 强制,[ ] 记住我令牌 - 评估可预测性和过期时间,[ ] CAPTCHA 绕过 - 测试自动化提交抵抗能力。
安全审计
安全This skill is purely educational documentation about web security vulnerabilities. All 32 static analysis findings are false positives - the detected patterns appear in markdown code blocks and vulnerability descriptions, not executable code. The file contains no actual security risks and is safe for publication.
质量评分
你能构建什么
安全评估规划
使用漏洞参考为 Web 应用程序安全评估构建全面的测试检查清单,确保覆盖所有主要漏洞类别。
开发者安全培训
教育开发团队了解常见漏洞模式、其根本原因和安全编码实践,在开发过程中预防安全缺陷。
事件响应分析
在调查安全事件时参考漏洞定义和攻击向量,以了解潜在的利用方式和影响范围。
试试这些提示
解释 SQL 注入漏洞,包括其定义、根本原因、典型影响和建议的缓解措施。提供一个简单的攻击工作原理示例。
比较和对比 XSS、CSRF 和点击劫持攻击。解释每种攻击的工作原理、它们之间的区别,以及针对每种攻击的具体防御措施。
创建一个全面的漏洞测试检查清单,用于 API 安全评估。包括身份验证缺陷、注入漏洞、速率限制和数据暴露风险的测试用例。
将参考中所有与身份验证相关的漏洞映射到 OWASP Top 10 2021 类别。对于每个映射,解释关系并识别覆盖范围中的任何差距。
最佳实践
- 始终手动验证漏洞发现 - 自动化扫描器会产生误报
- 根据具体技术栈和架构调整缓解建议
- 使用 OWASP 映射基于行业认可的风险排名确定修复优先级
避免
- 在不理解根本原因的情况下应用缓解措施
- 仅依赖自动化扫描而不进行手动验证
- 在应用程序端点之间不一致地实施安全控制