owasp-top-10
OWASP Top 10のセキュリティ脆弱性に関する検出・修正パターンを提供します。セキュリティ監査の実施、セキュアコーディングの実践、またはコードに潜む一般的な脆弱性のレビューを行う際に活用してください。
description の原文を見る
OWASP Top 10 security vulnerabilities with detection and remediation patterns. Use when conducting security audits, implementing secure coding practices, or reviewing code for common security vulnerabilities.
SKILL.md 本文
OWASP Top 10 セキュリティ脆弱性
OWASP Top 10 2021 に基づいて、最も重大な Web アプリケーション セキュリティ リスクを識別、防止、修復するための専門的なガイダンスです。
このスキルを使用する場合
- セキュリティ監査とコード レビューを実施する
- 新機能にセキュアなコーディング実践を実装する
- 認証と認可システムをレビューする
- 入力検証とサニタイズを評価する
- 脆弱性について第三者の依存関係を評価する
- セキュリティ コントロールと防御の多層化戦略を設計する
- セキュリティ認定やコンプライアンス監査に備える
- セキュリティ インシデントや疑わしい動作を調査する
OWASP Top 10 2021 概要
リスク重大度でランク付け:
- A01 - アクセス制御の不備 (↑ #5 から上昇)
- A02 - 暗号化の失敗 (旧: 機密データ露出)
- A03 - インジェクション (↓ #1 から低下)
- A04 - 安全でない設計 (新規)
- A05 - セキュリティ設定ミス
- A06 - 脆弱で古いコンポーネント
- A07 - 認証と認可の失敗
- A08 - ソフトウェアとデータの整合性の失敗 (新規)
- A09 - セキュリティ ロギングと監視の失敗
- A10 - サーバー側リクエスト偽造 (SSRF) (新規)
クイック リファレンス
各脆弱性の詳細なガイダンスをロードします:
| 脆弱性 | リファレンス ファイル |
|---|---|
| アクセス制御の不備 | skills/owasp-top-10/references/broken-access-control.md |
| 暗号化の失敗 | skills/owasp-top-10/references/cryptographic-failures.md |
| インジェクション | skills/owasp-top-10/references/injection.md |
| 安全でない設計 | skills/owasp-top-10/references/insecure-design.md |
| セキュリティ設定ミス | skills/owasp-top-10/references/security-misconfiguration.md |
| 脆弱なコンポーネント | skills/owasp-top-10/references/vulnerable-components.md |
| 認証の失敗 | skills/owasp-top-10/references/authentication-failures.md |
| 整合性の失敗 | skills/owasp-top-10/references/integrity-failures.md |
| ロギング & 監視 | skills/owasp-top-10/references/logging-monitoring.md |
| SSRF | skills/owasp-top-10/references/ssrf.md |
| 防止戦略 | skills/owasp-top-10/references/prevention-strategies.md |
| 評価ワークフロー | skills/owasp-top-10/references/assessment-workflow.md |
セキュリティ監査ワークフロー
- スコープを特定: アプリケーション コンポーネントとアタック サーフェスを決定
- 脆弱性を選択: 機能に基づいて関連する OWASP カテゴリを選択
- リファレンスをロード: 詳細なパターンについて適切なリファレンス ファイルを読む
- コードを分析: 脆弱なパターンとセキュアなパターンに対してコードをレビュー
- 所見をドキュメント化: 脆弱性を重大度と修復方法とともに記録
- 修復を検証: 修復が問題を適切に解決することをテスト
- セキュリティをテスト: 自動セキュリティ テスト (SAST, DAST, SCA) を実行
コア セキュリティ原則
多層防御
- ネットワーク、アプリケーション、データ、監視レベルでセキュリティ コントロールを層状に配置
- 1 つのコントロール障害がシステム全体を危険にさらさないことを確認
セキュアバイデフォルト
- デフォルトですべてのアクセスを拒否し、権限を明示的に付与
- 安全に失敗 (エラーが機密情報を公開しない)
- アタック サーフェスを最小化 (未使用の機能を無効化)
- すべてのアカウントとサービスに最小権限を適用
入力検証
- タイプ、長さ、フォーマット、許可された値を検証
- ブロックリストではなくホワイトリストを使用
- 特定のコンテキスト (SQL、HTML、シェルなど) についてサニタイズ
- クライアント入力を信頼しない
一般的な間違い
- ユーザー入力を信頼: すべてのユーザー供給データを常に検証およびサニタイズ
- 独自の暗号化を作成: 確立されたライブラリ (bcrypt、AES-256) を使用
- エラーを露出: 詳細なエラーは内部で記録し、ユーザーにはジェネリック メッセージを表示
- 認可チェックなし: UI だけでなく、すべてのリクエストで権限をチェック
- セッション管理が弱い: HTTPS で安全な、httpOnly、sameSite クッキーを使用
- 依存関係を無視: 第三者ライブラリを定期的に監査および更新
- ロギングなし: 検出とインシデント対応のためにセキュリティ イベントをログに記録
- デフォルト設定: すべてのシステムをハードニング、デフォルトを無効化
セキュリティ テスト ツール
SAST (静的): SonarQube、Semgrep、ESLint セキュリティ プラグイン DAST (動的): OWASP ZAP、Burp Suite SCA (依存関係): npm audit、Snyk、Dependabot シークレット スキャン: GitGuardian、TruffleHog ペネトレーション テスト: Metasploit、Kali Linux ツール
リソース
- OWASP Top 10 2021: https://owasp.org/Top10/
- OWASP チート シート: https://cheatsheetseries.owasp.org/
- OWASP ASVS: Application Security Verification Standard
- CWE Top 25: Common Weakness Enumeration
- NIST サイバーセキュリティ フレームワーク: https://www.nist.gov/cyberframework
- CVE データベース: https://cve.mitre.org/
- Snyk 脆弱性 DB: https://snyk.io/vuln/
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- nickcrew
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/nickcrew/claude-ctx-plugin / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。