GitHub
Skills harvested from GitHub repositories
14810 skills availablesecurity-automation
安全自动化是提高安全运营效率的重要手段。本技能提供安全自动化的方法、工具和最佳实践。 自动化扫描: 定期扫描 CI/CD集成 结果分析 报告生成 自动化测试: 单元测试 集成测试 安全测试 回归测试 自动化响应: 事件检测 自动遏制 通知告...
security-awareness-training
安全意识培训是提高组织整体安全水平的重要措施。本技能提供安全意识培训的方法、内容和最佳实践。 目标: 了解安全威胁 识别安全风险 掌握防护措施 理解安全政策 目标: 养成安全习惯 遵守安全规范 主动报告事件 参与安全活动 目标: 建立安全文...
secure-code-review
安全代码审查是识别代码中安全漏洞的重要方法。本技能提供安全代码审查的方法、工具和最佳实践。 检查项目: 用户输入验证 参数验证 数据过滤 边界检查 检查项目: XSS防护 输出编码 内容安全策略 响应头设置 检查项目: 认证机制 会话管理 ...
incident-response
安全事件响应是处理安全事件的关键流程。本技能提供安全事件响应的方法、工具和最佳实践。 准备工作: 建立响应团队 制定响应计划 准备工具和资源 建立通信渠道 识别事件: 监控告警 异常检测 日志分析 用户报告 遏制措施: 隔离受影响系统 禁用...
mobile-app-security-testing
移动应用安全测试是确保移动应用安全性的重要环节。本技能提供移动应用安全测试的方法、工具和最佳实践,涵盖Android和iOS平台。 检查项目: 代码混淆 反编译防护 调试防护 证书绑定 检查项目: 数据加密 密钥管理 敏感数据存储 数据传输...
idor-testing
IDOR(Insecure Direct Object Reference)是一种访问控制漏洞,当应用程序直接使用用户提供的输入来访问资源,而未验证用户是否有权限访问该资源时发生。本技能提供IDOR漏洞的检测、利用和防护方法。 应用程序使用...
cyberstrike-eino-demo
本包与 Agent Skills 一致:SKILL.md 为清单 + 主说明(无单独 SKILL.yaml)。同目录可有 scripts/、references/、assets/ 等任意子目录(只要路径安全、未触达包深度/文件数上限),由 ...
file-upload-testing
文件上传功能是Web应用常见功能,但存在多种安全风险。本技能提供文件上传漏洞的检测、利用和防护方法。 仅前端验证: // 可被绕过 if (!file.name.endsWith('.jpg')) { alert('只允许上传图片'); 仅...
csrf-testing
CSRF(Cross-Site Request Forgery)是一种利用用户已登录状态进行未授权操作的攻击方式。本技能提供CSRF漏洞的检测、利用和防护方法。 攻击者诱导用户访问恶意页面 恶意页面自动发送请求到目标网站 浏览器自动携带用户...
container-security-testing
容器安全测试是确保容器化应用安全性的重要环节。本技能提供容器安全测试的方法、工具和最佳实践,涵盖Docker、Kubernetes等容器技术。 检查项目: 基础镜像漏洞 依赖包漏洞 镜像配置 敏感信息 检查项目: 容器权限 资源限制 网络隔...
business-logic-testing
业务逻辑漏洞是应用程序在业务处理流程中的设计缺陷,可能导致未授权操作、数据篡改、资金损失等。本技能提供业务逻辑漏洞的检测、利用和防护方法。 跳过验证步骤: 直接访问最终步骤 修改步骤顺序 重复执行步骤 负数价格: 输入负数金额 导致账户余额...
command-injection-testing
命令注入是一种通过应用程序执行系统命令的漏洞。当应用程序将用户输入直接传递给系统命令时,攻击者可以执行任意命令。本技能提供命令注入的检测、利用和防护方法。 应用程序调用系统命令时,未对用户输入进行充分验证和过滤,导致攻击者可以注入额外的命令...
network-penetration-testing
网络渗透测试是评估网络基础设施安全性的重要环节。本技能提供网络渗透测试的方法、工具和最佳实践。 检查项目: 网络拓扑 主机发现 端口扫描 服务识别 检查项目: 系统漏洞 服务漏洞 配置错误 弱密码 检查项目: 远程代码执行 权限提升 横向移...
api-security-testing
API安全测试是确保API接口安全性的重要环节。本技能提供API安全测试的方法、工具和最佳实践。 测试项目: Token有效性验证 Token过期处理 权限控制 角色权限验证 测试项目: 参数类型验证 数据长度限制 特殊字符处理 SQL注入...
ldap-injection-testing
LDAP注入是一种类似于SQL注入的漏洞,利用LDAP查询语句的构造缺陷,可能导致信息泄露、权限绕过等。本技能提供LDAP注入的检测、利用和防护方法。 应用程序将用户输入直接拼接到LDAP查询语句中,未进行充分验证和过滤,导致攻击者可以修改...
xxe-testing
XXE(XML External Entity)注入是一种利用XML解析器处理外部实体的漏洞。本技能提供XXE漏洞的检测、利用和防护方法。 XML解析器在处理外部实体时,可能读取本地文件、进行SSRF攻击或导致拒绝服务。常见于: XML文档...
xpath-injection-testing
XPath注入是一种类似于SQL注入的漏洞,利用XPath查询语句的构造缺陷,可能导致信息泄露、认证绕过等。本技能提供XPath注入的检测、利用和防护方法。 应用程序将用户输入直接拼接到XPath查询语句中,未进行充分验证和过滤,导致攻击者...
cloud-security-audit
云安全审计是评估云环境安全性的重要环节。本技能提供云安全审计的方法、工具和最佳实践,涵盖AWS、Azure、GCP等主流云平台。 检查项目: IAM策略配置 用户权限 角色权限 访问密钥管理 检查项目: 安全组配置 网络ACL VPC配置 ...
deserialization-testing
反序列化漏洞是一种利用应用程序反序列化不可信数据导致的漏洞,可能导致远程代码执行、拒绝服务等。本技能提供反序列化漏洞的检测、利用和防护方法。 应用程序将序列化的数据反序列化为对象时,如果数据来源不可信,攻击者可以构造恶意序列化数据,在反序列...
sql-injection-testing
SQL注入是一种常见且危险的Web应用漏洞。本技能提供了系统化的SQL注入测试方法、检测技术和利用策略。 识别所有用户输入点:URL参数、POST数据、HTTP头、Cookie等 重点关注:id、search、filter、sort等参数 ...
vulnerability-assessment
漏洞评估是识别和评估系统漏洞的重要环节。本技能提供漏洞评估的方法、工具和最佳实践。 确定范围: 目标系统 网络范围 应用范围 测试深度 收集信息: 系统信息 网络拓扑 服务信息 应用信息 扫描类型: 网络扫描 主机扫描 应用扫描 配置扫描 ...
learning-opportunities
Invocation argument: $ARGUMENTS The user wants to build genuine expertise while using AI coding tools, not just ship cod...
orient
Generate a repo-specific orientation.md file inside the learning-opportunities skill's resources/ directory. This file i...
ux-review
Validates UX design documents before they enter the implementation pipeline. Acts as the quality gate between UX Design ...