web-security-testing
OWASP Top 10に基づくWebアプリケーションのセキュリティテストを自動化するスキルで、インジェクション攻撃・XSS・認証の欠陥・アクセス制御の不備などの脆弱性を検出します。セキュリティ診断やペネトレーションテストの実施時にトリガーされ、体系的な脆弱性評価をサポートします。
description の原文を見る
Web application security testing workflow for OWASP Top 10 vulnerabilities including injection, XSS, authentication flaws, and access control issues.
SKILL.md 本文
Web セキュリティテスト ワークフロー
概要
インジェクション攻撃、XSS、認証の破損、アクセス制御の問題を含む OWASP Top 10 の脆弱性に対する Web アプリケーションテストの専門ワークフローです。
このワークフローを使用する場合
以下の場合にこのワークフローを使用してください:
- Web アプリケーションのセキュリティテストを実施している
- OWASP Top 10 アセスメントを実施している
- ペネトレーションテストを実施している
- セキュリティコントロールを検証している
- バグバウンティハンティングを行っている
ワークフローフェーズ
フェーズ 1: 偵察
呼び出すスキル
scanning-tools- セキュリティスキャンtop-web-vulnerabilities- OWASP 知識
アクション
- アプリケーション表面のマッピング
- 使用技術の特定
- エンドポイントの発見
- サブドメインの発見
- 調査結果のドキュメント化
コピーペースト用プロンプト
Use @scanning-tools to perform web application reconnaissance
フェーズ 2: インジェクションテスト
呼び出すスキル
sql-injection-testing- SQL インジェクションsqlmap-database-pentesting- SQLMap
アクション
- SQL インジェクションのテスト
- NoSQL インジェクションのテスト
- コマンドインジェクションのテスト
- LDAP インジェクションのテスト
- 脆弱性のドキュメント化
コピーペースト用プロンプト
Use @sql-injection-testing to test for SQL injection
Use @sqlmap-database-pentesting to automate SQL injection testing
フェーズ 3: XSS テスト
呼び出すスキル
xss-html-injection- XSS テストhtml-injection-testing- HTML インジェクション
アクション
- リフレクティッド XSS のテスト
- ストアド XSS のテスト
- DOM ベースの XSS のテスト
- XSS フィルターのテスト
- 調査結果のドキュメント化
コピーペースト用プロンプト
Use @xss-html-injection to test for cross-site scripting
フェーズ 4: 認証テスト
呼び出すスキル
broken-authentication- 認証テスト
アクション
- 認証情報スタッフィングのテスト
- ブルートフォース保護のテスト
- セッション管理のテスト
- パスワードポリシーのテスト
- MFA 実装のテスト
コピーペースト用プロンプト
Use @broken-authentication to test authentication security
フェーズ 5: アクセス制御テスト
呼び出すスキル
idor-testing- IDOR テストfile-path-traversal- パストラバーサル
アクション
- 垂直権限昇格のテスト
- 水平権限昇格のテスト
- IDOR 脆弱性のテスト
- ディレクトリトラバーサルのテスト
- 不正アクセスのテスト
コピーペースト用プロンプト
Use @idor-testing to test for insecure direct object references
Use @file-path-traversal to test for path traversal
フェーズ 6: セキュリティヘッダー
呼び出すスキル
api-security-best-practices- セキュリティヘッダー
アクション
- CSP 実装の確認
- HSTS 設定の検証
- X-Frame-Options のテスト
- X-Content-Type-Options の確認
- リファラーポリシーの検証
コピーペースト用プロンプト
Use @api-security-best-practices to audit security headers
フェーズ 7: レポーティング
呼び出すスキル
reporting-standards- セキュリティレポーティング
アクション
- 脆弱性のドキュメント化
- リスクレベルの評価
- 修復方法の提供
- 概念実証の作成
- レポートの生成
コピーペースト用プロンプト
Use @reporting-standards to create security report
OWASP Top 10 チェックリスト
- A01: アクセス制御の破損
- A02: 暗号的な失敗
- A03: インジェクション
- A04: 安全でない設計
- A05: セキュリティ設定漏れ
- A06: 脆弱なコンポーネント
- A07: 認証の失敗
- A08: ソフトウェア/データ完全性の失敗
- A09: ロギングおよび監視の不十分さ
- A10: SSRF
品質ゲート
- すべての OWASP Top 10 がテストされている
- 脆弱性がドキュメント化されている
- 概念実証がキャプチャされている
- 修復方法が提供されている
- レポートが生成されている
関連するワークフローバンドル
security-audit- セキュリティ監査api-security-testing- API セキュリティwordpress-security- WordPress セキュリティ
制限事項
- このスキルは、タスクが上記の説明の範囲に明確に一致する場合にのみ使用してください。
- 出力を環境固有の検証、テスト、または専門家によるレビューの代替物として扱わないでください。
- 必要な入力、権限、安全性の境界、または成功基準が不足している場合は、停止して明確化を求めてください。
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- sickn33
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/sickn33/antigravity-awesome-skills / ライセンス: MIT
関連スキル
doubt-driven-development
重要な判断はすべて、本番環境への展開前に新しい視点から対抗的レビューを実施します。速度より正確性が重要な場合、不慣れなコードを扱う場合、本番環境・セキュリティに関わるロジック・取り消し不可の操作など影響度が高い場合、または後でバグを修正するよりも今検証する方が効率的な場合に活用してください。
apprun-skills
TypeScriptを使用したAppRunアプリケーションのMVU設計に関する総合的なガイダンスが得られます。コンポーネントパターン、イベントハンドリング、状態管理(非同期ジェネレータを含む)、パラメータと保護機能を備えたルーティング・ナビゲーション、vistestを使用したテストに対応しています。AppRunコンポーネントの設計・レビュー、ルートの配線、状態フローの管理、AppRunテストの作成時に活用してください。
desloppify
コードベースのヘルスチェックと技術負債の追跡ツールです。コード品質、技術負債、デッドコード、大規模ファイル、ゴッドクラス、重複関数、コードスメル、命名規則の問題、インポートサイクル、結合度の問題についてユーザーが質問した場合に使用してください。また、ヘルススコアの確認、次の改善項目の提案、クリーンアップ計画の作成をリクエストされた際にも対応します。29言語に対応しています。
debugging-and-error-recovery
テストが失敗したり、ビルドが壊れたり、動作が期待と異なったり、予期しないエラーが発生したりした場合に、体系的な根本原因デバッグをガイドします。推測ではなく、根本原因を見つけて修正するための体系的なアプローチが必要な場合に使用してください。
test-driven-development
テスト駆動開発により実装を進めます。ロジックの実装、バグの修正、動作の変更など、あらゆる場面で活用できます。コードが正常に動作することを証明する必要がある場合、バグ報告を受けた場合、既存機能を修正する予定がある場合に使用してください。
incremental-implementation
変更を段階的に実施します。複数のファイルに影響する機能や変更を実装する場合に使用してください。大量のコードを一度に書こうとしている場合や、タスクが一度では完結できないほど大きい場合に活用します。