Next.js 安全扫描工具 - 基于 OWASP 指南的全面漏洞检测与代码审计

next.js-security-scan by sugarforever/01coder-agent-skills

84 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/sugarforever/01coder-agent-skills --skill 'Next.js Security Scan'

JavaScript 框架测试安全

🇨🇳中文介绍

Next.js 安全扫描技能

此技能基于 OWASP 指南和行业最佳实践，为 Next.js 和 TypeScript/JavaScript 项目提供全面的安全扫描。

何时使用此技能

Next.js 应用程序的安全审计
安全漏洞的代码审查
部署前的安全检查
依赖项漏洞评估
检测硬编码的密钥和凭据

扫描类型

1. 快速扫描

专注于关键漏洞的快速扫描：

硬编码的密钥和 API 密钥
危险函数的使用（dangerouslySetInnerHTML、eval）
Server Actions 中缺失的身份验证
已知的易受攻击依赖项

2. 完整扫描

全面的安全评估，涵盖：

所有 OWASP Top 10:2025 类别
XSS 漏洞模式
注入漏洞（SQL、NoSQL、命令）
身份验证和授权缺陷
安全配置错误
加密失败
Next.js 特定漏洞
依赖项审计（CVE 检查）
环境变量暴露

3. 针对性扫描

专注于特定的漏洞类别：

--xss - 跨站脚本模式

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

步骤 1：项目发现

识别项目类型（Next.js App Router、Pages Router 或普通 React）
定位配置文件（next.config.js、package.json、.env*）
映射代码库结构

步骤 2：依赖项审计

运行依赖项审计脚本：

./scripts/dependency-audit.sh

npm audit --json
# 或
yarn audit --json

步骤 3：密钥扫描

扫描硬编码的密钥：

python scripts/secret-scanner.py /path/to/project

重要：环境文件处理

默认情况下，真实的 .env 文件会被跳过（.env、.env.local、.env.production 等）
这些文件包含实际的密钥，不应置于版本控制中
仅分析 .env.example 和 .env.template 文件以检查文档质量
仅当用户明确请求时才使用 --include-env-files 标志

扫描源代码中的硬编码密钥
分析 .env.example 模板以检查：
- 记录了哪些敏感变量
- 变量是否有描述（注释）
- 占位符值是否看起来像真实密钥
- 对缺失的常见变量的建议

步骤 4：模式分析

针对代码库中的每个文件，对照以下模式进行检查：

references/xss-patterns.md - XSS 漏洞
references/injection-patterns.md - 注入漏洞
references/auth-vulnerabilities.md - 身份验证问题
references/nextjs-specific.md - Next.js 漏洞

步骤 5：报告生成

使用以下内容生成安全报告：

assets/report-template.md - 报告结构

严重性	描述	所需操作
严重	可利用的漏洞，影响严重	需要立即修复
高	重大的安全风险	部署前修复
中	潜在的安全问题	在下一个版本中修复
低	轻微的安全问题	考虑修复
信息	安全最佳实践建议	可选改进

需要扫描的关键文件

**/*.ts、**/*.tsx、**/*.js、**/*.jsx - 源代码
next.config.js、next.config.mjs - Next.js 配置
package.json、package-lock.json - 依赖项
middleware.ts、middleware.js - 中间件安全

.env.example、.env.template - 扫描以进行模板分析
.env、.env.local、.env.production - 默认跳过（包含真实密钥）

注意： 真实的 .env 文件绝不应提交到版本控制。扫描器分析 .env.example 模板以确保所需变量的文档记录正确。

app/api/**/* - API 路由（App Router）
pages/api/**/* - API 路由（Pages Router）
**/actions.ts、**/*-actions.ts - Server Actions
lib/auth*、utils/auth* - 身份验证代码
**/middleware.* - 中间件文件

发现的问题应按以下格式报告：

[严重性] 类别：描述
  文件：path/to/file.ts:行号
  代码：<相关代码片段>
  风险：<安全风险说明>
  修复：<推荐的修复措施>

此技能可以生成与以下兼容的输出：

GitHub 安全公告
用于 GitHub 代码扫描的 SARIF 格式
用于自定义集成的 JSON

根据需要加载额外上下文：

references/owasp-top-10.md - OWASP Top 10:2025 快速参考
references/xss-patterns.md - XSS 检测模式
references/injection-patterns.md - 注入漏洞模式
references/auth-vulnerabilities.md - 身份验证安全模式
references/nextjs-specific.md - Next.js 特定漏洞和 CVE

🇺🇸English

Next.js Security Scan Skill

This skill enables comprehensive security scanning of Next.js and TypeScript/JavaScript projects based on OWASP guidelines and industry best practices.

When to Use This Skill

Security audits of Next.js applications
Code review for security vulnerabilities
Pre-deployment security checks
Dependency vulnerability assessment
Detecting hardcoded secrets and credentials

Scan Types

1. Quick Scan

Fast scan focusing on critical vulnerabilities:

Hardcoded secrets and API keys
Dangerous function usage (dangerouslySetInnerHTML, eval)
Missing authentication in Server Actions
Known vulnerable dependencies

2. Full Scan

Comprehensive security assessment covering:

All OWASP Top 10:2025 categories
XSS vulnerability patterns
Injection vulnerabilities (SQL, NoSQL, Command)
Authentication and authorization flaws
Security misconfigurations
Cryptographic failures
Next.js-specific vulnerabilities
Dependency audit (CVE check)
Environment variable exposure

3. Targeted Scan

Focus on specific vulnerability categories:

--xss - Cross-site scripting patterns
--injection - SQL/NoSQL/Command injection
--auth - Authentication/authorization issues
--secrets - Hardcoded credentials
--deps - Dependency vulnerabilities
--nextjs - Next.js specific issues

Scan Procedure

Step 1: Project Discovery

Identify project type (Next.js App Router, Pages Router, or plain React)
Locate configuration files (next.config.js, package.json, .env*)
Map the codebase structure

Step 2: Dependency Audit

Run the dependency audit script:

./scripts/dependency-audit.sh

Or manually:

npm audit --json
# or
yarn audit --json

Step 3: Secret Scanning

Scan for hardcoded secrets:

python scripts/secret-scanner.py /path/to/project

Important: Environment File Handling

By default, real .env files are SKIPPED (.env, .env.local, .env.production, etc.)
These files contain actual secrets and should not be in version control
Only .env.example and .env.template files are analyzed for documentation quality
Use --include-env-files flag only if explicitly requested by user

The scanner will:

Scan source code for hardcoded secrets
Analyze .env.example templates to check:
- Which sensitive variables are documented
- Whether variables have descriptions (comments)
- If placeholder values look like real secrets
- Suggestions for missing common variables

Step 4: Pattern Analysis

For each file in the codebase, check against patterns in:

references/xss-patterns.md - XSS vulnerabilities
references/injection-patterns.md - Injection flaws
references/auth-vulnerabilities.md - Auth issues
references/nextjs-specific.md - Next.js vulnerabilities

Step 5: Report Generation

Generate a security report using:

assets/report-template.md - Report structure

Severity Classification

Severity	Description	Action Required
CRITICAL	Exploitable vulnerability with severe impact	Immediate fix required
HIGH	Significant security risk	Fix before deployment
MEDIUM	Potential security issue	Fix in next release
LOW	Minor security concern	Consider fixing
INFO	Security best practice suggestion	Optional improvement

Key Files to Scan

Always Check

**/*.ts, **/*.tsx, **/*.js, **/*.jsx - Source code
next.config.js, next.config.mjs - Next.js configuration
package.json, package-lock.json - Dependencies
middleware.ts, middleware.js - Middleware security

Environment Files

.env.example, .env.template - SCAN for template analysis
.env, .env.local, .env.production - SKIP by default (contain real secrets)

Note: Real .env files should never be committed to version control. The scanner analyzes .env.example templates to ensure proper documentation of required variables.

High Priority Locations

app/api/**/* - API routes (App Router)
pages/api/**/* - API routes (Pages Router)
**/actions.ts, **/*-actions.ts - Server Actions
lib/auth*, utils/auth* - Authentication code
**/middleware.* - Middleware files

Output Format

Findings should be reported as:

[SEVERITY] Category: Description
  File: path/to/file.ts:lineNumber
  Code: <relevant code snippet>
  Risk: <explanation of the security risk>
  Fix: <recommended remediation>

Integration with CI/CD

This skill can generate output compatible with:

GitHub Security Advisories
SARIF format for GitHub Code Scanning
JSON for custom integrations

References

Load additional context as needed:

references/owasp-top-10.md - OWASP Top 10:2025 quick reference
references/xss-patterns.md - XSS detection patterns
references/injection-patterns.md - Injection vulnerability patterns
references/auth-vulnerabilities.md - Authentication security patterns
references/nextjs-specific.md - Next.js specific vulnerabilities and CVEs

Weekly Installs

–

Repository

sugarforever/01…t-skills

GitHub Stars

First Seen

–

xdrop 文件传输脚本：Bun 环境下安全上传下载工具，支持加密分享

28,800 周安装