[ PROMPT_NODE_27640 ]
security-audit
[ SKILL_DOCUMENTATION ]
# 安全审计工作流包
## 概述
针对 Web 应用、API 和基础设施的全面安全审计工作流。此包编排了渗透测试、漏洞评估、安全扫描和修复的技能。
## 何时使用此工作流
在以下场景使用此工作流:
- 对 Web 应用执行安全审计
- 测试 API 安全性
- 进行渗透测试
- 扫描漏洞
- 加固应用安全
- 合规性安全评估
## 工作流阶段
### 第一阶段:侦察
#### 调用的技能
- `scanning-tools` - 安全扫描
- `shodan-reconnaissance` - Shodan 搜索
- `top-web-vulnerabilities` - OWASP Top 10
#### 操作
1. 确定目标范围
2. 收集情报
3. 映射攻击面
4. 识别技术栈
5. 记录发现结果
#### 复制粘贴提示词
Use @scanning-tools to perform initial reconnaissance
Use @shodan-reconnaissance to find exposed services
### 第二阶段:漏洞扫描
#### 调用的技能
- `vulnerability-scanner` - 漏洞分析
- `security-scanning-security-sast` - 静态分析
- `security-scanning-security-dependencies` - 依赖项扫描
#### 操作
1. 运行自动化扫描器
2. 执行静态分析
3. 扫描依赖项
4. 识别错误配置
5. 记录漏洞
#### 复制粘贴提示词
Use @vulnerability-scanner to scan for OWASP Top 10 vulnerabilities
Use @security-scanning-security-dependencies to audit dependencies
### 第三阶段:Web 应用测试
#### 调用的技能
- `top-web-vulnerabilities` - OWASP 漏洞
- `sql-injection-testing` - SQL 注入
- `xss-html-injection` - XSS 测试
- `broken-authentication` - 身份验证测试
- `idor-testing` - IDOR 测试
- `file-path-traversal` - 路径遍历
- `burp-suite-testing` - Burp Suite 测试
#### 操作
1. 测试注入漏洞
2. 测试身份验证机制
3. 测试会话管理
4. 测试访问控制
5. 测试输入验证
6. 测试安全标头
#### 复制粘贴提示词
Use @sql-injection-testing to test for SQL injection vulnerabilities
Use @xss-html-injection to test for cross-site scripting
Use @broken-authentication to test authentication security
### 第四阶段:API 安全测试
#### 调用的技能
- `api-fuzzing-bug-bounty` - API 模糊测试
- `api-security-best-practices` - API 安全
#### 操作
1. 枚举 API 端点
粤公网安备44030002003366号