threat-modeling-expert
執行專業威脅建模以實現安全系統設計
安全團隊在系統設計過程中難以系統性地識別威脅。此技能運用 STRIDE 和攻擊樹等結構化方法,在部署前找出漏洞。
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "threat-modeling-expert". 分析一個接受使用者名稱/密碼並傳回 JWT token 的登入 API ��點
Résultat attendu:
STRIDE 分析結果:
- 詐騙:憑證暴力破解、透過遭竊 token 進行會話劫持
- 篡改:Token 操縱、攔截和修改請求
- 否認:身份驗���事件缺少稽核日誌
- 資訊洩露:傳輸中的憑證、洩露有效使用者名稱的錯誤訊息
- 拒絕服務:速率限制漏洞、帳戶鎖定繞過
- 權限提升:Token 權限提升、角色操縱
��高優先項:實施速率限制、安全的 token 儲存和全面的身份驗證記錄。
Utilisation de "threat-modeling-expert". 為「從電商��台竊取客戶付款資料」建構攻擊樹
Résultat attendu:
攻擊樹根節點:竊取付款資料
├─ 破壞應用層
│ ├─ 結帳表單上的 SQL 注入
│ ├─ 捕獲卡片輸入的 XSS
│ └─ 列舉交易的 API 濫用
├─ 破壞基礎架構
│ ├─ 攔截網路流量
│ ├─ 存取資料庫備份
│ └─ 利用記錄系統
└─ 社會工程
├─ 網路釣魚支援人員
└─ 偽裝成合法使用者
建議控制:輸入驗證、WAF 規則、靜態加密、網路分段、人員培訓
Audit de sécurité
SûrThis skill contains documentation-only content (SKILL.md) describing threat modeling methodologies. All 7 static analysis findings for 'Weak cryptographic algorithm' and 'System reconnaissance' are false positives caused by security terminology in documentation text matching pattern detectors. No executable code, cryptographic operations, or actual reconnaissance capabilities exist. Safe for publication.
Motifs détectés
Score de qualité
Ce que vous pouvez construire
安全架構審查
在系統設計階段執行全面的威���建模,在開發開始前識別漏洞。
攻擊面分析
為關鍵功能建構攻擊樹,以了解潛在的利用路徑並優先處理防禦措施。
安全文件
為合規稽核生成結構化的威脅模型和安全需求,並移交給營運團隊。
Essayez ces prompts
使用 STRIDE 方法分析此系統描述:[描述您的系統]。為每個 STRIDE 類別列出潛在威脅,並以一句話描述。
這是我的資料流程圖:[描述資料流、信任邊界和元件]。對每個資料流和元件應用 STRIDE。對於識別的每個威脅,提供風險評分(1-5)和建議的緩解措施。
為此場景建構攻擊樹:[描述攻擊目標,例如「未經授權存取使用者資料庫」]。從根目標開始,將主要攻擊路徑識別為第一層節點,然後以特定技術展開每條路徑。包含葉節點的可能性估計。
根據此威脅模型:[貼上威脅],為每個識別的風險提取特定安全需求。將每個需求格式化為:「系統應[行動]以防止/緩解[威脅]」。按功能領域組織需求,並按風險評分優先排序。
Bonnes pratiques
- 讓開發人員和架構師參與威脅建模會議,以準確理解系統
- 專���於資料流和信任邊界的分析,而不僅是元件清單
- 在每次重大架構變更或新增功能後更新威脅模型
Éviter
- 僅在專案開始時執行一次威脅建模而無後續審查
- 建立過於詳細的攻擊樹,導致文件變得難以維護
- 識別威脅卻未將其連結至特定緩解措施和負責人