top-web-vulnerabilities
掌握Web应用安全漏洞
学习识别和修复100个最关键的Web漏洞。这个系统性参考帮助开发人员和安全专业人员了解攻击向量并实施适当的防御措施。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“top-web-vulnerabilities”。 什么是命令注入,如何预防?
预期结果:
命令注入(第5、11项)发生在未经过滤的用户输入被传递给系统shell时,允许任意命令执行。影响:完全系统控制、数据泄露、横向移动。缓解措施:完全避免shell执行、白名单有效命令、实施严格输入验证、使用参数化API而非shell命令。
正在使用“top-web-vulnerabilities”。 列出我应该在Web应用中测试的与身份验证相关的漏洞。
预期结果:
需要测试的关键身份验证漏洞:会话固定(第14项)- 验证登录后会话ID是否重新生成。暴力破解(第15项)- 检查速率限制和锁定策略。会话劫持(第16项)- 验证令牌随机性和HTTPS使用。凭证填充(第22项)- 测试密码泄露检查。不安全的记住我(第85项)- 分析令牌强度和过期时间。CAPTCHA绕过(第86项)- 验证机器人检测有效性。
正在使用“top-web-vulnerabilities”。 每个Web应用应该实施哪些安全标头?
预期结果:
参考材料中的关键安全标头:Content-Security-Policy(限制资源来源)、X-Content-Type-Options nosniff(防止MIME类型嗅探)、X-Frame-Options DENY(阻止点击劫持)、X-X-XSS-Protection(启用浏览器XSS过滤)、Strict-Transport-Security(强制HTTPS)、Referrer-Policy(控制引用信息)、Permissions-Policy(限制浏览器功能)。
安全审计
安全All 33 static analysis findings are false positives. The skill is educational documentation describing vulnerabilities and security concepts, not implementing them. Detected patterns (weak crypto, reconnaissance, external commands) appear in vulnerability descriptions and mitigation examples as teaching content. The skill provides defensive security guidance with no executable code.
质量评分
你能构建什么
安全审计准备
在执行渗透测试或安全审计之前,审查漏洞类别并创建全面的测试清单。
安全代码审查
在审查代码时参考特定的漏洞模式,以在开发过程中识别潜在的安全缺陷。
威胁建模支持
使用漏洞类别在应用设计和架构阶段系统地识别攻击向量。
试试这些提示
我发现了一个安全问题,用户输入在用于数据库查询之前没有经过验证。这是什么漏洞类型?风险和缓解措施是什么?
对于登录表单,我应该测试哪些与身份验证相关的漏洞?列出具体的攻击向量以进行验证。
我们的应用程序存储用户密码时没有进行哈希处理。这是什么漏洞?解释攻击场景并提供逐步的缓解策略。
审查我们电子商务应用的API安全漏洞。检查参考材料中的第48-51项和第75项。报告发现的问题,包括风险等级和修复步骤。
最佳实践
- 始终使用参数化查询和预处理语句来防止注入攻击
- 实施深度防御,包括WAF、输入验证和输出编码等多重安全控制
- 通过正式的漏洞管理程序保持依赖项和系统的及时修补
- 通过MFA、安全会话管理和适当的授权检查强制实施强身份验证
避免
- 仅依赖自动化扫描器而没有手动验证和业务逻辑测试
- 在不同应用组件或环境中不一致地应用安全控制
- 将安全视为一次性评估,而不是持续集成到开发生命周期中
- 假设客户端验证足够,无需服务器端强制执行