web-security-testing
測試 Web 應用程式的 OWASP Top 10 漏洞
此工作流程引導您遵循 OWASP Top 10 方法論,從偵察到報告,進行全面的 Web 應用程式安全測試。
下載技能 ZIP
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
開啟並開始使用
測試它
正在使用「web-security-testing」。 使用 @web-security-testing 測試我的 Web 應用程式 https://example.com
預期結果:
- 開始第 1 階段:偵察
- - 繪製應用程式表面
- - 識別使用的技術
- - 發現端點
- - 尋找子網域
- - 記錄初步發現
- 準備進入第 2 階段:注入測試
正在使用「web-security-testing」。 我們在 @web-security-testing 的第 3 階段。測試搜尋功能的 XSS。
預期結果:
- 第 3 階段:XSS 測試
- 測試向量:反射型、儲存型、DOM 型
- 執行的測試案例:
- - <script>alert(1)</script>
- - <img src=x onerror=alert(1)>
- - <svg onload=alert(1)>
- 記錄所有成功的繞過,並附上概念驗證
安全審計
安全Static analysis flagged 33 potential issues (31 external_commands, 2 weak cryptographic algorithms). After evaluation, all findings are FALSE POSITIVES. The external_commands detections are markdown code formatting (backticks) used for skill references like @scanning-tools, not actual shell execution. The cryptographic flags are false positives from keywords in the OWASP checklist. This is a legitimate security testing workflow with no malicious code.
高風險問題 (1)
中風險問題 (1)
品質評分
你能建構什麼
全面安全評估
遵循結構化的 OWASP Top 10 方法論,透過詳細的分階段測試,對 Web 應用程式進行完整的安全稽核。
漏洞賞金偵察
使用此工作流程進行漏洞賞金搜尋,以結構化方式系統性地測試目標應用程式的漏洞。
安全驗證
在生產部署前,驗證 Web 應用程式中的安全控制是否已正確實作。
試試這些提示
使用 @web-security-testing 測試我的 Web 應用程式的安全漏洞。目標:[URL]
我們在 @web-security-testing 的第 2 階段。測試登入表單 [URL] 的 SQL 注入,參數為 [param]
遵循 @web-security-testing 的第 3 階段,測試 [URL] 評論區塊的 XSS 漏洞
我們已完成 @web-security-testing 的所有階段。生成一份安全報告,總結發現和修復步驟。
最佳實務
- 在測試任何應用程式前,務必取得適當的授權
- 按照順序執行工作流程階段以獲得全面的覆蓋範圍
- 為每個漏洞記錄所有發現,並附上概念驗證
- 為每個階段的專門測試調用引用的技能
避免
- 跳過階段 - 每個階段都建立在前一個階段的偵察基礎上
- 未經授權在生產環境中測試
- 未記錄包含重現步驟的發現
- 未進行適當的風險評估就忽略低嚴重性發現