laravel-security-audit
審計 Laravel 應用程式的安全漏洞
Laravel 開發人員需要確保他們的應用程式遵循安全最佳實踐。此技能提供使用 OWASP 標準和 Laravel 特定安全知識的全面安全審計。
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "laravel-security-audit". 審查一個透過 ID 取得使用者貼文的 Laravel 控制器
النتيجة المتوقعة:
- 問題:缺少授權檢查
- 風險:高
- 問題:控制透過 ID 取得貼文時未驗證所有權或使用者權限。
- 漏洞:已驗證的使用者可以透過變更 ID 參數存取其他使用者的貼文。
- 修復:新增 Policy 檢查或將查詢範圍限定為已驗證使用者的貼文。
- 範例:Post::where('user_id', auth()->id())->findOrFail($id)
استخدام "laravel-security-audit". 審查檔案上傳驗證邏輯
النتيجة المتوقعة:
- 問題:檔案類型驗證不足
- 風險:中
- 問題:僅檢查檔案副檔名,缺少 MIME 類型驗證。
- 漏洞:攻擊者可以上傳偽裝成圖片的 PHP 檔案。
- 修復:使用 Laravel 的 mimeTypes 驗證規則並將檔案儲存在公開目錄外。
- 範例:$request->file('avatar')->validate(['mimes:jpg,png', 'max:2048'])
التدقيق الأمني
آمنAll static analysis findings are false positives. This is an educational/documentation skill containing prompt instructions for security auditing, not executable code. The detected patterns (external_commands, network, env_access) are references to security concepts being taught, not actual vulnerable code. No security risks identified.
درجة الجودة
ماذا يمكنك بناءه
部署前安全審查
在將 Laravel 應用程式部署到生產環境之前審查程式碼,以識別安全漏洞。
程式碼審查協助
將安全分析整合到 pull request 審查中,以早期發現漏洞。
舊版程式碼審計
評估現有 Laravel 應用程式的安全技術債務和錯誤配置。
جرّب هذه الموجهات
審查此 Laravel 控制器的安全漏洞。檢查適當的授權、輸入驗證和常見的 OWASP 問題。
對此 Laravel 應用程式進行全面的安全審計。分析認證、授權、輸入驗證、資料庫查詢、檔案上傳和 API 安全。按風險等級分類每個發現。
審計此 Laravel 應用程式中的認證實作。檢查密碼雜湊、會話管理、權杖處理和 Sanctum/JWT 配置的安全問題。
評估此 Laravel 應用程式的 API 端點是否存在安全漏洞。檢查速率限制、授權、輸入驗證、回應清理和大量賦值保護。
أفضل الممارسات
- 始終使用 FormRequest 類別進行輸入驗證和授權
- 對資料庫和檔案系統存取套用最小權限原則
- 在所有公開 API 端點上啟用速率限制以防止濫用
تجنب
- 在建立或更新操作中使用 request()->all() 而不進行驗證
- 僅在控制器中檢查授權而不強制執行 Policy
- 在公開可存取的目錄中儲存上傳的檔案而不進行驗證
الأسئلة المتكررة
此技能支援哪些 Laravel 版本?
此技能可以自動掃描我的整個程式碼庫嗎?
這可以取代滲透測試嗎?
這涵蓋哪些 OWASP 類別?
此技能可以自動修復漏洞嗎?
使用此技能時我的程式碼是否會被分享或儲存?
تفاصيل المطور
المؤلف
sickn33الترخيص
MIT
المستودع
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/laravel-security-auditمرجع
main
بنية الملفات
📄 SKILL.md