[ PROMPT_NODE_27696 ]
web-security-testing
[ SKILL_DOCUMENTATION ]
# Web 安全测试工作流
## 概述
专门用于测试 Web 应用以抵御 OWASP Top 10 漏洞的工作流,包括注入攻击、XSS、失效的身份验证和访问控制问题。
## 何时使用此工作流
在以下场景使用:
- 测试 Web 应用安全性
- 执行 OWASP Top 10 评估
- 进行渗透测试
- 验证安全控制措施
- 漏洞赏金猎人活动
## 工作流阶段
### 第一阶段:侦察
#### 需调用的技能
- `scanning-tools` - 安全扫描
- `top-web-vulnerabilities` - OWASP 知识
#### 操作
1. 映射应用表面
2. 识别技术栈
3. 发现端点
4. 查找子域名
5. 记录发现结果
#### 复制粘贴提示词
Use @scanning-tools to perform web application reconnaissance
### 第二阶段:注入测试
#### 需调用的技能
- `sql-injection-testing` - SQL 注入
- `sqlmap-database-pentesting` - SQLMap
#### 操作
1. 测试 SQL 注入
2. 测试 NoSQL 注入
3. 测试命令注入
4. 测试 LDAP 注入
5. 记录漏洞
#### 复制粘贴提示词
Use @sql-injection-testing to test for SQL injection
Use @sqlmap-database-pentesting to automate SQL injection testing
### 第三阶段:XSS 测试
#### 需调用的技能
- `xss-html-injection` - XSS 测试
- `html-injection-testing` - HTML 注入
#### 操作
1. 测试反射型 XSS
2. 测试存储型 XSS
3. 测试基于 DOM 的 XSS
4. 测试 XSS 过滤器
5. 记录发现结果
#### 复制粘贴提示词
Use @xss-html-injection to test for cross-site scripting
### 第四阶段:身份验证测试
#### 需调用的技能
- `broken-authentication` - 身份验证测试
#### 操作
1. 测试凭据填充
2. 测试防暴力破解保护
3. 测试会话管理
4. 测试密码策略
5. 测试 MFA 实现
#### 复制粘贴提示词
Use @broken-authentication to test authentication security
### 第五阶段:访问控制测试
#### 需调用的技能
- `idor-testing` - IDOR 测试
- `file-path-traversal` - 路径遍历
#### 操作
1. 测试垂直权限提升
2. 测试水平权限提升
3. 测试 IDOR 漏洞
4. 测试目录遍历
5. 测试未经授权的访问
#### 复制粘贴提示词
Use @idor-testing to test for insecure direct object references
Use @file-path-traversal to test for path traversal
### 第六阶段:安全响应头
#### 需调用的技能
- `api-security-best-practices` - 安全
粤公网安备44030002003366号