教 AI 进行完整的 Web 安全漏洞测试 #

覆盖 OWASP Top 10 漏洞类型，包含注入、XSS、认证失效等场景的自动化测试指南。本工作流专为需要系统性评估 Web 应用安全性的安全工程师设计，帮助 AI 模拟专业渗透测试流程。

为什么需要这个技能 #

Web 应用是网络安全攻击的首要目标，仅靠基础扫描往往遗漏深层逻辑漏洞。此技能通过模拟专业渗透测试员的思维，将 OWASP Top 10 漏洞分类拆解为具体可执行的测试阶段，从信息收集到修复建议全链路覆盖。

它能帮助安全团队：

• 在开发早期发现逻辑缺陷，降低修复成本。
• 训练 AI 模拟攻击者视角，补充人工审计的盲区。
• 生成标准化的漏洞报告，满足合规审计要求。

适用场景 #

• 内部渗透测试：对自家 Web 服务进行全面的 OWASP Top 10 合规性检查。
• 漏洞赏金预备：在提交漏洞报告前，由 AI 协助验证漏洞复现与 POC 生成。
• 代码审计辅助：在审查第三方组件或开源代码时，指导 AI 进行特定的注入或认证检查。

核心工作流 #

测试过程遵循严谨的七个阶段，确保覆盖所有关键风险点：

第一阶段：信息收集（Reconnaissance） #

首先利用扫描工具和 OWASP 知识库进行被动信息搜集。

• 动作：绘制应用表面地图、识别后端技术栈、发现 API 端点和子域名。
• 指令示例：

  Use @scanning-tools to perform web application reconnaissance

第二阶段：注入攻击测试（Injection Testing） #

针对 A03 注入漏洞进行深度测试，覆盖 SQL、NoSQL、命令及 LDAP 注入。

• 动作：验证特殊字符注入、测试 SQLMap 自动化能力、记录敏感数据泄露情况。
• 指令示例：

  Use @sql-injection-testing to test for SQL injection

  Use @sqlmap-database-pentesting to automate SQL injection testing

第三阶段：跨站脚本测试（XSS Testing） #

验证用户输入处理机制，覆盖反射型、存储型及基于 DOM 的 XSS 攻击。

• 动作：测试输入过滤有效性、DOM 元素闭合检查、XSS 过滤器绕过。
• 指令示例：

  Use @xss-html-injection to test for cross-site scripting

第四阶段：认证机制测试（Authentication Testing） #

确保账户系统坚固，防止凭证接管。

• 动作：测试凭证填充（Credential Stuffing）、暴力破解保护机制、会话劫持风险及 MFA 实现。
• 指令示例：

  Use @broken-authentication to test authentication security

第五阶段：访问控制测试（Access Control Testing） #

检查 RBAC 模型及路径遍历问题，防止越权访问。

• 动作：测试垂直与水平提权、IDOR（不安全的直接对象引用）、目录遍历漏洞。
• 指令示例：

  Use @idor-testing to test for insecure direct object references

  Use @file-path-traversal to test for path traversal

第六阶段：安全头验证（Security Headers） #

审查服务器响应头配置，防御中间人攻击和点击劫持。

• 动作：检查 CSP 策略、HSTS 强制跳转、X-Frame-Options 及 Referrer 策略。
• 指令示例：

  Use @api-security-best-practices to audit security headers

第七阶段：报告生成（Reporting） #

将发现的问题转化为可操作的修复方案。

• 动作：生成漏洞清单、评估风险等级、提供 POC 证明、输出合规报告。
• 指令示例：

  Use @reporting-standards to create security report

下载和安装 #

下载 web-security-testing 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹，重启工具后即可按工作流调用各子技能。

你可能还需要 #

暂无推荐