---

name: security-audit description: "全面的安全审计工作流，涵盖 Web 应用测试、API 安全、渗透测试、漏洞扫描和安全加固。" category: workflow-bundle risk: safe source: personal date_added: "2026-02-27"

安全审计工作流套件

概述

全面的安全审计工作流，用于 Web 应用、API 和基础设施。此套件编排渗透测试、漏洞评估、安全扫描和修复的技能。

何时使用此工作流

在以下情况使用此工作流：

• 对 Web 应用执行安全审计
• 测试 API 安全
• 进行渗透测试
• 扫描漏洞
• 加固应用安全
• 合规安全评估

工作流阶段

阶段 1：侦察

要调用的技能

• scanning-tools - 安全扫描
• shodan-reconnaissance - Shodan 搜索
• top-web-vulnerabilities - OWASP Top 10

操作

1. 确定目标范围
2. 收集情报
3. 映射攻击面
4. 识别技术栈
5. 记录发现

复制粘贴提示

Use @scanning-tools to perform initial reconnaissance

Use @shodan-reconnaissance to find exposed services

阶段 2：漏洞扫描

要调用的技能

• vulnerability-scanner - 漏洞分析
• security-scanning-security-sast - 静态分析
• security-scanning-security-dependencies - 依赖扫描

操作

1. 运行自动化扫描器
2. 执行静态分析
3. 扫描依赖
4. 识别错误配置
5. 记录漏洞

复制粘贴提示

Use @vulnerability-scanner to scan for OWASP Top 10 vulnerabilities

Use @security-scanning-security-dependencies to audit dependencies

阶段 3：Web 应用测试

要调用的技能

• top-web-vulnerabilities - OWASP 漏洞
• sql-injection-testing - SQL 注入
• xss-html-injection - XSS 测试
• broken-authentication - 认证测试
• idor-testing - IDOR 测试
• file-path-traversal - 路径遍历
• burp-suite-testing - Burp Suite 测试

操作

1. 测试注入缺陷
2. 测试认证机制
3. 测试会话管理
4. 测试访问控制
5. 测试输入验证
6. 测试安全头

复制粘贴提示

Use @sql-injection-testing to test for SQL injection vulnerabilities

Use @xss-html-injection to test for cross-site scripting

Use @broken-authentication to test authentication security

阶段 4：API 安全测试

要调用的技能

• api-fuzzing-bug-bounty - API 模糊测试
• api-security-best-practices - API 安全

操作

1. 枚举 API 端点
2. 测试认证/授权
3. 测试速率限制
4. 测试输入验证
5. 测试错误处理
6. 记录 API 漏洞

复制粘贴提示

Use @api-fuzzing-bug-bounty to fuzz API endpoints

阶段 5：渗透测试

要调用的技能

• pentest-commands - 渗透测试命令
• pentest-checklist - 渗透测试规划
• ethical-hacking-methodology - 道德黑客
• metasploit-framework - Metasploit

操作

1. 规划渗透测试
2. 执行攻击场景
3. 利用漏洞
4. 记录概念验证
5. 评估影响

复制粘贴提示

Use @pentest-checklist to plan penetration test

Use @pentest-commands to execute penetration testing

阶段 6：安全加固

要调用的技能

• security-scanning-security-hardening - 安全加固
• auth-implementation-patterns - 认证
• api-security-best-practices - API 安全

操作

1. 实施安全控制
2. 配置安全头
3. 设置认证
4. 实施授权
5. 配置日志
6. 应用补丁

复制粘贴提示

Use @security-scanning-security-hardening to harden application

质量门控

• [ ] 侦察完成
• [ ] 漏洞扫描完成
• [ ] Web 应用测试完成
• [ ] API 安全测试完成
• [ ] 渗透测试完成
• [ ] 安全加固已实施
• [ ] 报告已生成

相关工作流套件

• cloud-devops - 基础设施安全
• development - 安全编码
• testing-qa - 安全测试

限制

• 仅在任务明确匹配上述范围时使用此技能。
• 不要将输出视为环境特定验证、测试或专家审查的替代品。
• 如果缺少所需的输入、权限、安全边界或成功标准，请停下来要求澄清。