Top 100 Web Vulnerabilities Reference
掌握 OWASP 參考資源進行 Web 漏洞評估
安全專業人員難以全面追蹤 Web 應用程式漏洞的完整範疇。這份綜合參考資料提供 100 項分門別類的漏洞,包含清晰的定義、根本原因和可執行的緩解措施。
下載技能 ZIP
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
開啟並開始使用
測試它
正在使用「Top 100 Web Vulnerabilities Reference」。 什麼是 Server-Side Request Forgery,我該如何測試?
預期結果:
SSRF 允許攻擊者從您的伺服器向內部資源發出請求。測試方法:(1) 識別 URL 參數,(2) 嘗試內部 IP 位址(127.0.0.1、169.254.169.254 用於雲端中繼資料),(3) 使用帶外 DNS 回呼來確認。透過 URL 允許清單、出口過濾和網路分段來緩解。
正在使用「Top 100 Web Vulnerabilities Reference」。 給我一個測試身份驗證漏洞的檢查清單。
預期結果:
身份驗證測試檢查清單:[ ] 會話固定 - 檢查登入時會話 ID 是否重新生成,[ ] 暴力攻擊 - 測試帳戶鎖定和速率限制,[ ] 憑證填充 - 驗證被洩漏密碼的偵測,[ ] 會話劫持 - 驗證令牌隨機性和 HTTPS 強制執行,[ ] 記住我令牌 - 評估可預測性和過期時間,[ ] CAPTCHA 繞過 - 測試自動化提交 resistance。
安全審計
安全This skill is purely educational documentation about web security vulnerabilities. All 32 static analysis findings are false positives - the detected patterns appear in markdown code blocks and vulnerability descriptions, not executable code. The file contains no actual security risks and is safe for publication.
品質評分
你能建構什麼
安全評估規劃
使用漏洞參考資料建立 Web 應用程式安全評估的綜合測試檢查清單,確保涵蓋所有主要漏洞類別。
開發人員安全培訓
教育開發團隊了解常見漏洞模式、其根本原因和安全編碼實踐,以在開發過程中預防安全缺陷。
事件回應分析
調查安全事件時參考漏洞定義和攻擊向量,以了解潛在的利用方式和影響範圍。
試試這些提示
解釋 SQL Injection 漏洞,包括其定義、根本原因、典型影響和建議的緩解措施。提供一個簡單的範例說明攻擊如何運作。
比較和對比 XSS、CSRF 和 clickjacking 攻擊。解釋每種攻擊的運作方式、它們的差異,以及針對每種攻擊的具體防禦措施。
建立 API 安全評估的綜合漏洞測試檢查清單。包括身份驗證缺陷、注入漏洞、速率限制和資料暴露風險的測試案例。
將參考資料中所有與身份驗證相關的漏洞對應至 OWASP Top 10 2021 類別。對於每個對應,解釋關係並識別涵蓋範圍中的任何差距。
最佳實務
- 務必手動驗證漏洞發現 - 自動化掃描器會產生誤報
- 根據您的特定技術堆疊和架構調整緩解建議
- 使用 OWASP 對應根據行業公認的風險排名來優先處理修復
避免
- 在未了解根本原因的情況下套用緩解措施
- 僅依賴自動化掃描而不進行手動驗證
- 在應用程式端點之間不一致地實施安全控制