Web安全测试

低风险

作者 @sickn33已验证来源

4.2277 次安装v1.0.0更新于 2026年5月25日

使用方式

在 Claude Code 中运行以下命令

第一步：添加 Marketplace

/plugin marketplace add sickn33/antigravity-awesome-skills

第二步：安装插件

/plugin install antigravity-awesome-skills@antigravity-awesome-skills

关于

Web 应用安全测试工作流，针对 OWASP Top 10 漏洞，包括注入、XSS、认证缺陷和访问控制问题。

name: web-security-testing description: "Web 应用安全测试工作流，针对 OWASP Top 10 漏洞，包括注入、XSS、认证缺陷和访问控制问题。" category: granular-workflow-bundle risk: safe source: personal date_added: "2026-02-27"

Web 安全测试工作流

概述

针对 OWASP Top 10 漏洞的 Web 应用安全测试专用工作流，包括注入攻击、XSS、认证缺陷和访问控制问题。

适用场景

在以下情况使用此工作流：

测试 Web 应用安全性
执行 OWASP Top 10 评估
进行渗透测试
验证安全控制措施
漏洞赏金猎人

工作流阶段

阶段 1：侦察

调用技能

scanning-tools - 安全扫描
top-web-vulnerabilities - OWASP 知识

操作步骤

映射应用攻击面
识别技术栈
发现端点
查找子域名
记录发现

复制粘贴提示词

Use @scanning-tools to perform web application reconnaissance

阶段 2：注入测试

调用技能

sql-injection-testing - SQL 注入
sqlmap-database-pentesting - SQLMap

操作步骤

测试 SQL 注入
测试 NoSQL 注入
测试命令注入
测试 LDAP 注入
记录漏洞

复制粘贴提示词

Use @sql-injection-testing to test for SQL injection

Use @sqlmap-database-pentesting to automate SQL injection testing

阶段 3：XSS 测试

调用技能

xss-html-injection - XSS 测试
html-injection-testing - HTML 注入

操作步骤

测试反射型 XSS
测试存储型 XSS
测试 DOM 型 XSS
测试 XSS 过滤器
记录发现

复制粘贴提示词

Use @xss-html-injection to test for cross-site scripting

阶段 4：认证测试

调用技能

broken-authentication - 认证测试

操作步骤

测试凭证填充
测试暴力破解防护
测试会话管理
测试密码策略
测试多因素认证实现

复制粘贴提示词

Use @broken-authentication to test authentication security

阶段 5：访问控制测试

调用技能

idor-testing - IDOR 测试
file-path-traversal - 路径遍历

操作步骤

测试垂直权限提升
测试水平权限提升
测试 IDOR 漏洞
测试目录遍历
测试未授权访问

复制粘贴提示词

Use @idor-testing to test for insecure direct object references

Use @file-path-traversal to test for path traversal

阶段 6：安全头部

调用技能

api-security-best-practices - 安全头部

操作步骤

检查 CSP 实现
验证 HSTS 配置
测试 X-Frame-Options
检查 X-Content-Type-Options
验证 Referrer 策略

复制粘贴提示词

Use @api-security-best-practices to audit security headers

阶段 7：报告

调用技能

reporting-standards - 安全报告

操作步骤

记录漏洞
评估风险等级
提供修复建议
创建概念验证
生成报告

复制粘贴提示词

Use @reporting-standards to create security report

OWASP Top 10 检查清单

[ ] A01：访问控制缺陷
[ ] A02：加密失败
[ ] A03：注入
[ ] A04：不安全设计
[ ] A05：安全配置错误
[ ] A06：易受攻击的组件
[ ] A07：认证失败
[ ] A08：软件和数据完整性失败
[ ] A09：日志和监控不足
[ ] A10：服务端请求伪造（SSRF）

质量关卡

[ ] 所有 OWASP Top 10 已测试
[ ] 漏洞已记录
[ ] 概念验证已捕获
[ ] 修复建议已提供
[ ] 报告已生成

限制

仅在任务明确匹配上述范围时使用此技能。
不要将输出视为特定环境验证、测试或专家审查的替代品。
如果缺少必要的输入、权限、安全边界或成功标准，请停下来要求澄清。

兼容工具

Claude CodeCursor

Web安全测试

关于

name: web-security-testing description: "Web 应用安全测试工作流，针对 OWASP Top 10 漏洞，包括注入、XSS、认证缺陷和访问控制问题。" category: granular-workflow-bundle risk: safe source: personal date_added: "2026-02-27"

Web 安全测试工作流

概述

适用场景

工作流阶段

阶段 1：侦察

调用技能

操作步骤

复制粘贴提示词

阶段 2：注入测试

调用技能

操作步骤

复制粘贴提示词

阶段 3：XSS 测试

调用技能

操作步骤

复制粘贴提示词

阶段 4：认证测试

调用技能

操作步骤

复制粘贴提示词

阶段 5：访问控制测试

调用技能

操作步骤

复制粘贴提示词

阶段 6：安全头部

调用技能

操作步骤

复制粘贴提示词

阶段 7：报告

调用技能

操作步骤

复制粘贴提示词

OWASP Top 10 检查清单

质量关卡

相关工作流包

限制

兼容工具

标签

相关推荐

Burp Suite 安全测试

Wireshark网络分析

社交证明架构

Laravel安全实践

K8s 安全策略

安全扫描加固