登录
下载

Skill UI

浏览并发现 9765+ 精选技能
全部 编程开发 人工智能 设计创意 产品商业 数据科学 市场营销 职场通用 效率工具 硬件工程 语言学习
搜索 验证 ,共找到 1122 条记录
默认排序 最新上传 最多下载

API认证与JWT滥用测试

api-auth-and-jwt-abuse
yaklang/hack-skills
452
这是一份用于安全测试的综合手册,专门用于测试依赖JWT、Bearer Token或API Key的API的弱点。内容涵盖了Token验证缺陷(如alg:none、密钥混淆)、声明滥用、请求头伪造、速率限制绕过和批量赋值漏洞,适用于评估身份验证边界的渗透测试人员。
查看详情

CRLF注入:高级攻击手册

crlf-injection
yaklang/hack-skills
185
本手册详细介绍了CRLF(回车换行)注入的高级攻击方法。它利用用户输入未经验证地出现在HTTP响应头(如Location、Set-Cookie)或日志记录中的漏洞。内容涵盖了响应分割、双CRLF导致的XSS升级、缓存投毒和会话固定等高级攻击场景,适用于专业的安全深度测试。
查看详情

CSRF跨站请求伪造攻击手册

csrf-cross-site-request-forgery
yaklang/hack-skills
173
本手册提供了一份专业的CSRF跨站请求伪造漏洞测试指南,用于深入审计Web应用的防伪造机制。内容覆盖了识别所有状态改变的端点,包括绕过各种类型的CSRF令牌(如未验证或可预测的令牌),并深入探讨了利用SameSite属性的边界情况(如GET方法攻击)和JSON API的攻击载荷构造,适用于安全审计和渗透测试。
查看详情

文件访问与上传漏洞路由

file-access-vuln
yaklang/hack-skills
248
这是一个用于系统性测试文件访问、下载端点和文件上传流程的路由指南。适用于验证文件路径、检测本地文件包含(LFI),或分析文件预览、存储和提取流程中的漏洞。可帮助确定漏洞是路径遍历问题还是数据处理链问题。
查看详情

NTLM重放与身份胁迫攻击手册

ntlm-relay-coercion
yaklang/hack-skills
356
这是一份专家级手册,详细介绍了NTLM重放和身份胁迫的先进攻击技术。内容涵盖了针对SMB、LDAP、HTTP和MSSQL等多个协议的跨协议攻击,包括LLMNR中毒、PetitPotam等方法,旨在实现绕过标准身份验证的域控权限提升。
查看详情

OAuth/OIDC配置错误安全检查

oauth-oidc-misconfiguration
yaklang/hack-skills
231
该技能提供了一套全面的Playbook,用于测试OAuth 2.0和OpenID Connect (OIDC)中的安全配置错误。它指导用户系统性地检查重定向URI、state/nonce验证、PKCE强制执行、令牌受众/发行者检查以及账户绑定等漏洞,适用于任何使用外部身份提供商的应用程序安全审计。
查看详情

SAML单点登录断言攻击测试

saml-sso-assertion-attacks
yaklang/hack-skills
135
本技能提供了一套全面的安全测试手册,用于评估基于SAML的单点登录(SSO)系统的安全性。重点在于验证断言的信任机制,包括签名覆盖率、受众/接收者限制、ACS处理,以及识别潜在的XML解析漏洞和身份提供方/服务提供方混淆缺陷。适用于评估企业级身份认证系统。
查看详情

不安全文件上传漏洞测试

upload-insecure-files
yaklang/hack-skills
60
这是一份专业的、全面的不安全文件上传漏洞测试手册。它提供了包含验证绕过(魔术字节、扩展名)、存储路径滥用(遍历、覆盖)和后处理链利用(XXE、命令注入、RCE)等高级攻击向量。适用于文件处理流程的深度安全审计。
查看详情

WebSocket 安全性测试与分析

websocket-security
yaklang/hack-skills
206
本技能用于对基于WebSocket的实时通信API进行全面的安全测试。它覆盖了协议握手、跨站WebSocket劫持(CSWSH)、Origin验证缺失、以及数据传输过程中的各种常见漏洞。适用于聊天、通知或任何需要实时数据流的应用场景。
查看详情

网页数据源追溯审计工具

mock-hunter
sickn33/antigravity-awesome-skills
83
MockHunter是一个专业的网页审计工具,用于对实时网页进行全面的“真实性检查”。它能识别页面上所有可见数据元素的真实来源,并给出详细的判定结果,包括:真实数据(REAL)、模拟数据(MOCK)、大型语言模型生成(LLM)、硬编码值(HARDCODED)、断点(BROKEN)或未知(UNKNOWN)。特别适用于审核AI生成的界面或在展示MVP前进行数据层级的验证。
查看详情

AI协议别名加载工具

pua-mama
tanweai/pua
283
这是一个用于代码模型的CLI别名工具,用于实现特定的“mama协议”。它负责加载并遵循一套结构化的协议,在保持严格的验证要求的同时,将可见的叙事风格切换为“中国妈妈唠叨模式”。该工具还会管理配置文件,确保在修改`~/.pua/config.json`时保留原有设置。
查看详情

构建健壮的Kubernetes Operator

kubernetes-operator
alirezarezvani/claude-skills
67
本技能专注于Kubernetes Operator的构建与审计,指导用户遵循声明式的协调循环模式。它能帮助开发者识别和修复常见的Operator漏洞,如状态漂移、缺少Finalizer等。提供工具用于验证CRD规范、代码Lint和能力审计,确保Operator的健壮性和可靠性。
查看详情
上一页123...8788899091929394下一页
语言
简体中文
English