top-web-vulnerabilities
精通 Web 應用程式安全漏洞
學習識別和修復 100 種最關鍵的 Web 漏洞。此系統化參考資料幫助開發者和安全專業人員了解攻擊向量並實施適當的防禦措施。
下載技能 ZIP
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
開啟並開始使用
測試它
正在使用「top-web-vulnerabilities」。 什麼是指令注入,我如何預防它?
預期結果:
指令注入 (#5, #11) 發生在未經清理的使用者輸入被傳遞到系統 shell 時,允許任意指令執行。影響:完全系統損害、資料外洩、橫向移動。緩解:完全避免 shell 執行、白名單有效指令、實施嚴格的輸入驗證、使用參數化 API 而非 shell 指令。
正在使用「top-web-vulnerabilities」。 列出我應該在 Web 應用程式中測試的身份驗證相關漏洞。
預期結果:
需要測試的關鍵身份驗證漏洞:Session Fixation (#14) - 驗證登入後會話 ID 是否重新生成。暴力破解 (#15) - 檢查速率限制和鎖定策略。Session Hijacking (#16) - 驗證令牌隨機性和 HTTPS 使用。憑證填充 (#22) - 測試洩漏密碼檢查。不安全記住我 (#85) - 分析令牌強度和過期時間。CAPTCHA 繞過 (#86) - 驗證機器人檢測有效性。
正在使用「top-web-vulnerabilities」。 每個 Web 應用程式應該實施哪些安全標頭?
預期結果:
參考資料中的關鍵安全標頭:Content-Security-Policy(限制資源來源)、X-Content-Type-Options nosniff(防止 MIME 嗅探)、X-Frame-Options DENY(阻止點擊劫持)、X-XSS-Protection(啟用瀏覽器 XSS 過濾)、Strict-Transport-Security(強制 HTTPS)、Referrer-Policy(控制引用資訊)、Permissions-Policy(限制瀏覽器功能)。
安全審計
安全All 33 static analysis findings are false positives. The skill is educational documentation describing vulnerabilities and security concepts, not implementing them. Detected patterns (weak crypto, reconnaissance, external commands) appear in vulnerability descriptions and mitigation examples as teaching content. The skill provides defensive security guidance with no executable code.
品質評分
你能建構什麼
安全稽核準備
在進行滲透測試或安全稽核之前,檢視漏洞類別並建立全面的測試清單。
安全程式碼審查
在審查程式碼時參考特定漏洞模式,以在開發過程中識別潛在安全缺陷。
威脅建模支援
在應用程式設計和架構階段,使用漏洞類別系統化地識別攻擊向量。
試試這些提示
我發現了一個安全問題,使用者輸入在使用於資料庫查詢之前未經驗證。這是什麼漏洞類型,風險和緩解措施是什麼?
對於登入表單,我應該測試參考資料中的哪些身份驗證相關漏洞?列出需要驗證的特定攻擊向量。
我們的應用程式儲存使用者密碼時未進行雜湊處理。這是什麼漏洞?解釋攻擊情境並提供逐步緩解策略。
審查我們的電子商務應用程式是否存在 API 安全漏洞。檢查參考資料中的漏洞 #48-51 和 #75。報告發現結果,包含風險等級和修復步驟。
最佳實務
- 始終使用參數化查詢和預備語句來防止注入攻擊
- 實施深度防禦,包含多重安全控制,如 WAF、輸入驗證和輸出編碼
- 通過正式漏洞管理計劃保持依賴項和系統的修補
- 通過 MFA、安全會話管理和適當的授權檢查實施強身份驗證
避免
- 僅依賴自動化掃描器而無手動驗證和業務邏輯測試
- 在不同應用程式元件或環境中不一致地應用安全控制
- 將安全視為一次性評估而非持續整合到開發生命週期中
- 假設用戶端驗證已足夠而無伺服器端強制執行