web-security-testing
测试 Web 应用的 OWASP Top 10 漏洞
此工作流程引导您按照 OWASP Top 10 方法对 Web 应用进行全面的安全测试,从侦察到报告。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“web-security-testing”。 使用 @web-security-testing 测试我在 https://example.com 的 Web 应用
预期结果:
- 正在启动第 1 阶段:侦察
- - 映射应用表面
- - 识别所用技术
- - 发现端点
- - 查找子域名
- - 记录初步发现
- 准备进入第 2 阶段:注入测试
正在使用“web-security-testing”。 我们正处于 @web-security-testing 的第 3 阶段。测试搜索功能中的 XSS 漏洞。
预期结果:
- 第 3 阶段:XSS 测试
- 测试向量:反射型、存储型、基于 DOM 型
- 要执行的测试用例:
- - <script>alert(1)</script>
- - <img src=x onerror=alert(1)>
- - <svg onload=alert(1)>
- 记录所有成功的绕过及其概念验证
安全审计
安全Static analysis flagged 33 potential issues (31 external_commands, 2 weak cryptographic algorithms). After evaluation, all findings are FALSE POSITIVES. The external_commands detections are markdown code formatting (backticks) used for skill references like @scanning-tools, not actual shell execution. The cryptographic flags are false positives from keywords in the OWASP checklist. This is a legitimate security testing workflow with no malicious code.
高风险问题 (1)
中风险问题 (1)
质量评分
你能构建什么
全面安全评估
按照结构化的 OWASP Top 10 方法对 Web 应用进行全面安全审计,包含详细的分阶段测试。
漏洞赏金侦察
使用该工作流程进行漏洞赏金狩猎,以结构化方式系统地测试目标应用的漏洞。
安全验证
在 Web 应用上线部署前验证安全控制措施是否得到正确实施。
试试这些提示
使用 @web-security-testing 测试我的 Web 应用的安全漏洞。目标:[URL]
我们正处于 @web-security-testing 的第 2 阶段。测试 [URL] 处登录表单的 SQL 注入漏洞,参数为 [param]
按照 @web-security-testing 的第 3 阶段,测试 [URL] 处评论区的 XSS 漏洞
我们已完成 @web-security-testing 的所有阶段。生成一份安全报告,总结发现的问题和修复步骤。
最佳实践
- 在测试任何应用之前务必获得适当的授权
- 按顺序遵循工作流程各阶段以获得全面的覆盖范围
- 记录所有发现,并为每个漏洞提供概念验证
- 在每个阶段调用引用的技能进行专门测试
避免
- 跳过阶段 - 每个阶段都建立在前面的侦察基础上
- 未经授权在生产环境中测试
- 未记录带有复现步骤的发现
- 未进行适当风险评估就忽略低严重性发现