security-fundamentals
檢查程式碼安全性與 OWASP 合規性
程式碼中的安全漏洞會導致資料洩露和系統遭受攻擊。此技能提供系統化的檢查清單和 OWASP Top 10 指南,用於在開發過程中進行徹底的安全審查。
스킬 ZIP 다운로드
Claude에서 업로드
설정 → 기능 → 스킬 → 스킬 업로드로 이동
토글을 켜고 사용 시작
테스트해 보기
"security-fundamentals" 사용 중입니다. 檢查此身份驗證程式碼是否存在安全問題
예상 결과:
- • 密碼似乎使用 bcrypt 進行雜湊處理 - 良好
- • 權杖未設定過期時間 - 風險:權杖竊取漏洞
- • 登入端點沒有速率限制 - 風險:暴力破解攻擊
- • 會話在伺服器端進行驗證 - 良好
- • 建議新增:權杖過期、速率限制、失敗登入追蹤
"security-fundamentals" 사용 중입니다. 檢查此 API 端點是否存在漏洞
예상 결과:
- • 使用者 ID 來自 URL 參數 - 潛在的 IDOR 風險
- • 在存取資料前沒有所有權驗證
- • API 回應包含完整的使用者物件及內部欄位
- • 建議新增:所有權檢查、回應過濾、存取記錄
"security-fundamentals" 사용 중입니다. 檢查資料庫查詢是否存在注入風險
예상 결과:
- • 查詢使用字串插值 - 容易受到 SQL 注入攻擊
- • 使用者輸入直接串接到查詢字串中
- • 建議:使用帶有佔位符的參數化查詢
- • 同時在查詢前驗證和清理所有使用者輸入
보안 감사
안전This is a pure documentation skill containing only checklists, examples, and guidance for security code reviews. All 45 static findings are FALSE POSITIVES - the skill contains no executable code, network calls, filesystem operations, or external command execution. References to dangerous patterns (eval, innerHTML, md5, backticks) are educational examples showing what NOT to do. This skill is safe for publication.
위험 요인
🌐 네트워크 접근 (1)
📁 파일 시스템 액세스 (1)
⚡ 스크립트 포함 (4)
⚙️ 외부 명령어 (21)
🔑 환경 변수 (2)
품질 점수
만들 수 있는 것
標準化安全審查
在所有拉取請求中應用一致的 OWASP 檢查清單,確保不會遺漏任何安全缺口。
保護 API 端點
在部署前檢查 API 程式碼中的身份驗證、授權和輸入處理。
學習安全模式
使用蘇格拉底式提問來理解為什麼需要安全控制以及如何實作它們。
이 프롬프트를 사용해 보세요
檢查此身份驗證程式碼是否存在 OWASP 安全問題。檢查密碼處理、權杖安全性和會話管理。
分析此 API 端點是否存在授權錯誤、IDOR 漏洞以及回應中的敏感資料外洩。
檢查此資料庫程式碼是否存在 SQL 注入漏洞。驗證所有查詢都使用參數化語句。
對此程式碼庫執行完整的安全審查。應用 OWASP Top 10 檢查清單並識別所有潛在漏洞。
모범 사례
- 將此技能應用於每個包含身份驗證、API 或資料處理程式碼的拉取請求
- 使用蘇格拉底式提問幫助初級開發人員理解安全原則
- 在部署到生產環境前執行完整的 OWASP 檢查清單
피하기
- 僅在開發結束時審查安全性,而不是持續進行
- 信任客戶端驗證而不進行伺服器端驗證
- 回傳完整的資料庫物件而不是經過過濾的 API 回應