security-testing
SASTやDASTによる静的・動的解析、ペネトレーションテスト、依存パッケージのスキャンを通じてセキュリティ脆弱性を検出します。SQLインジェクション、XSS、CSRFなどOWASPに基づく脆弱性診断やセキュリティテストが必要なときに活用してください。
description の原文を見る
> Identify security vulnerabilities through SAST, DAST, penetration testing, and dependency scanning. Use for security test, vulnerability scanning, OWASP, SQL injection, XSS, CSRF, and penetration testing.
SKILL.md 本文
セキュリティテスト
目次
概要
セキュリティテストは、アプリケーションの脆弱性、弱点、脅威を特定し、データ保護を確保し、不正アクセスを防ぎ、システムの完全性を維持します。自動スキャン(SAST、DAST)と手動のペネトレーションテスト及びコードレビューを組み合わせています。
使用場面
- OWASP Top 10 の脆弱性テスト
- 既知の脆弱性に対する依存関係のスキャン
- 認証・認可のテスト
- 入力サニタイゼーションの検証
- API セキュリティのテスト
- 機密データの露出チェック
- セキュリティヘッダーの検証
- セッション管理のテスト
クイックスタート
最小限の動作例:
# security_scan.py
from zapv2 import ZAPv2
import time
class SecurityScanner:
def __init__(self, target_url, api_key=None):
self.zap = ZAPv2(apikey=api_key, proxies={
'http': 'http://localhost:8080',
'https': 'http://localhost:8080'
})
self.target = target_url
def scan(self):
"""Run full security scan."""
print(f"Scanning {self.target}...")
# Spider the application
print("Spidering...")
scan_id = self.zap.spider.scan(self.target)
while int(self.zap.spider.status(scan_id)) < 100:
time.sleep(2)
print(f"Spider progress: {self.zap.spider.status(scan_id)}%")
# Active scan
print("Running active scan...")
// ... (see reference guides for full implementation)
リファレンスガイド
references/ ディレクトリの詳細な実装:
| ガイド | 内容 |
|---|---|
OWASP ZAP (DAST) | OWASP ZAP (DAST) |
SQL Injection テスト | SQL Injection テスト |
XSS テスト | XSS テスト |
認証・認可テスト | 認証・認可テスト |
CSRF 保護テスト | CSRF 保護テスト |
依存関係の脆弱性スキャン | 依存関係の脆弱性スキャン |
セキュリティヘッダーテスト | セキュリティヘッダーテスト |
シークレット検出 | シークレット検出 |
ベストプラクティス
✅ すべきこと
- CI/CD でセキュリティスキャンを実行する
- 実際の攻撃ベクトルでテストする
- 依存関係を定期的にスキャンする
- セキュリティヘッダーを使用する
- レート制限を実装する
- すべての入力を検証・サニタイズする
- パラメータ化クエリを使用する
- 認証・認可を徹底的にテストする
❌ してはいけないこと
- シークレットをコードに保存する
- ユーザー入力を信頼する
- 詳細なエラーメッセージを露出させる
- 依存関係の更新をスキップする
- デフォルト認証情報を使用する
- セキュリティ警告を無視する
- ハッピーパスのみをテストする
- 機密データをコミットする
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- aj-geddes
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/aj-geddes/useful-ai-prompts / ライセンス: MIT
関連スキル
hugging-face-trackio
Trackioを使用してMLトレーニング実験を追跡・可視化できます。トレーニング中のメトリクスログ記録(Python API)、トレーニング診断のアラート発火、ログされたメトリクスの取得・分析(CLI)が必要な場合に活用してください。リアルタイムダッシュボード表示、Webhookを使用したアラート、HF Space同期、自動化向けのJSON出力に対応しています。
btc-bottom-model
ビットコインのサイクルタイミングモデルで、加重スコアリングシステムを搭載しています。日次パルス(4指標、32ポイント)とウィークリー構造(9指標、68ポイント)の2カテゴリーにわたる13の指標を追跡し、0~100のマーケットヒートスコアを算出します。ETFフロー、ファンディングレート、ロング/ショート比率、恐怖・貪欲指数、LTH-MVRV、NUPL、SOPR(LTH+STH)、LTH供給率、移動平均倍率(365日MA、200週MA)、週次RSI、出来高トレンドに対応します。市場サイクル全体を通じて買いと売りの両方の推奨を提供します。ビットコインの底値拾い、BTCサイクルポジション、買い時・売り時、オンチェーン指標、MVRV、NUPL、SOPR、LTH動向、ETFの流出入、ファンディングレート、恐怖指数、ビットコインが過熱状態か、マイナーコスト、暗号資産市場のセンチメント、BTCのポジションサイジング、「今ビットコインを買うべきか」「BTCが天井をつけているか」「オンチェーン指標は何を示しているか」といった質問の際にこのスキルを活用します。
protein_solubility_optimization
タンパク質の溶解性最適化 - タンパク質の溶解性を最適化します。タンパク質の特性を計算し、溶解性と親水性を予測し、有効な変異を提案します。タンパク質配列の特性計算、タンパク質機能の予測、親水性計算、ゼロショット配列予測を含むタンパク質エンジニアリング業務に使用できます。3つのSCPサーバーから4つのツールを統合しています。
research-lookup
Parallel Chat APIまたはPerplexity sonar-pro-searchを使用して、最新の研究情報を検索できます。学術論文の検索にも対応しています。クエリは自動的に最適なバックエンドにルーティングされるため、論文の検索、研究データの収集、科学情報の検証に活用できます。
tree-formatting
ggtree(R)またはiTOL(ウェブ)を使用して、系統樹の可視化とフォーマットを行います。系統樹を図として描画する際、ツリーレイアウトの選択、分類学に基づく枝やラベルの色付け、クレードの折りたたみ、サポート値の表示、またはツリーへのオーバーレイ追加が必要な場合に使用してください。系統推定(protein-phylogenyスキルを使用)やドメイン注釈(今後の独立したスキル)には使用しないでください。
querying-indonesian-gov-data
インドネシア政府の50以上のAPIとデータソースに接続できます。BPJPH(ハラール認証)、BOM(食品安全)、OJK(金融適正性)、BPS(統計)、BMKG(気象・地震)、インドネシア中央銀行(為替レート)、IDX(株式)、CKAN公開データポータル、pasal.id(第三者法MCP)に対応しています。インドネシア政府データを活用したアプリ開発、.go.idウェブサイトのスクレイピング、ハラール認証の確認、企業の法的適正性の検証、金融機関ステータスの照会、またはインドネシアMCPサーバーへの接続時に使用できます。CSRF処理、CKAN API使用方法、IP制限回避など、すぐに実行可能なPythonパターンを含んでいます。