Web应用程序安全编码指南：漏洞猎手视角的纵深防御实践

VibeSec-Skill by behisecc/vibesec-skill

77 周安装量

724 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/behisecc/vibesec-skill --skill VibeSec-Skill

Web应用编程最佳实践安全

🇨🇳中文介绍

Web 应用程序安全编码指南

概述

本指南为 Web 应用程序提供了全面的安全编码实践。作为 AI 助手，您的角色是从 漏洞猎手的视角 来审视代码，并在不破坏功能的前提下，使应用程序 尽可能安全。

核心原则：

纵深防御：切勿依赖单一的安全控制措施
安全失败：当出现故障时，应关闭访问（拒绝访问）
最小权限：授予必要的最小权限
输入验证：绝不信任用户输入，在服务器端验证所有内容
输出编码：根据数据被渲染的上下文进行适当的编码

访问控制问题

当用户可以访问超出其预期权限的资源或执行操作时，就会发生访问控制漏洞。

核心要求

对于 每个需要身份验证的数据点和操作：

用户级授权

 * 每个用户必须只能访问/修改自己的数据

 * 任何用户都不应访问其他用户或组织的数据
 * 始终在数据层验证所有权，而不仅仅是在路由层

2. 使用 UUID 而非顺序 ID

 * 使用 UUIDv4 或类似的不可猜测的标识符
 * 例外：仅在用户明确请求时使用顺序 ID

3. 账户生命周期处理

 * 当用户从组织中移除时：立即撤销所有访问令牌和会话
 * 当账户被删除/停用时：使所有活动会话和 API 密钥失效
 * 实施令牌吊销列表或带有刷新机制的短期令牌

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

需避免的常见陷阱

IDOR（不安全的直接对象引用） ：始终验证请求用户是否有权访问所请求的资源 ID
权限提升 ：在服务器端验证角色变更；绝不信任来自客户端的角色信息
水平访问 ：用户 A 以相同权限级别访问用户 B 的资源
垂直访问 ：普通用户访问管理员功能
批量赋值 ：过滤用户可以更新的字段；不要盲目接受请求体中的所有字段

# Pseudocode for secure resource access
function getResource(resourceId, currentUser):
    resource = database.find(resourceId)
    
    if resource is null:
        return 404  # Don't reveal if resource exists
    
    if resource.ownerId != currentUser.id:
        if not currentUser.hasOrgAccess(resource.orgId):
            return 404  # Return 404, not 403, to prevent enumeration
    
    return resource

用户可直接或间接控制的每个输入都必须针对 XSS 进行清理。

需要保护的输入源

表单字段（电子邮件、姓名、简介、评论等）
搜索查询
上传时的文件名
富文本编辑器 / WYSIWYG 内容

URL 参数和查询字符串
URL 片段（哈希值）
应用程序中使用的 HTTP 头（如果显示 Referer、User-Agent）
向用户显示的来自第三方 API 的数据
WebSocket 消息
来自 iframe 的 postMessage 数据
如果被渲染，则包括 LocalStorage/SessionStorage 值

常被忽视的：

反映用户输入的错误消息
接受 HTML 的 PDF/文档生成器
包含用户数据的电子邮件模板
管理面板中的日志查看器
渲染为 HTML 的 JSON 响应
SVG 文件上传（可能包含 JavaScript）
Markdown 渲染（如果允许 HTML）

输出编码（上下文相关）

 * HTML 上下文：HTML 实体编码（`<` → `&lt;`）

 * JavaScript 上下文：JavaScript 转义
 * URL 上下文：URL 编码
 * CSS 上下文：CSS 转义
 * 使用框架内置的转义功能（React 的 JSX、Vue 的 {{ }} 等）

2. 内容安全策略

     Content-Security-Policy: 
       default-src 'self';
       script-src 'self';
       style-src 'self' 'unsafe-inline';
       img-src 'self' data: https:;
       font-src 'self';
       connect-src 'self' https://api.yourdomain.com;
       frame-ancestors 'none';
       base-uri 'self';
       form-action 'self';
     

 * 避免对脚本使用 `'unsafe-inline'` 和 `'unsafe-eval'`
 * 必要时对内联脚本使用 nonce 或哈希值
 * 报告违规：`report-uri /csp-report`

 * 使用成熟的库（针对 HTML 使用 DOMPurify）
 * 为富文本设置允许的标签/属性白名单
 * 剥离或编码危险模式

 * `X-Content-Type-Options: nosniff`
 * `X-Frame-Options: DENY`（或使用 CSP 的 frame-ancestors）

每个会改变状态的端点都必须受到保护，以防 CSRF 攻击。

需要 CSRF 保护的端点

需要身份验证的操作：

所有 POST、PUT、PATCH、DELETE 请求
任何会改变状态的 GET 请求（应修复这些请求以使用正确的 HTTP 方法）
文件上传
设置更改
支付/交易端点

身份验证前的操作：

登录端点（防止登录 CSRF）
注册端点
密码重置请求端点
密码更改端点
电子邮件/电话验证端点
OAuth 回调端点

 * 生成加密随机的令牌

 * 将令牌与用户会话绑定
 * 在每个会改变状态的请求上进行验证
 * 登录后重新生成（防止会话固定组合攻击）

2. SameSite Cookie

     Set-Cookie: session=abc123; SameSite=Strict; Secure; HttpOnly
     

 * `Strict`：Cookie 从不跨站发送（安全性最佳）
 * `Lax`：Cookie 在顶级导航时发送（良好的平衡）
 * 始终与 CSRF 令牌结合使用以实现纵深防御

3. 双重提交 Cookie 模式

 * 在 Cookie 和请求体/头部中都发送 CSRF 令牌
 * 服务器验证它们是否匹配

边缘情况和常见错误

令牌存在性检查：CSRF 验证绝不能依赖于令牌是否存在，必须始终要求令牌
每个表单的令牌：对于敏感操作，考虑为每个表单使用唯一的令牌
JSON API：不要假设 JSON 内容类型能防止 CSRF；验证 Origin/Referer 头部并且使用令牌
CORS 配置错误：过于宽松的 CORS 可能绕过 SameSite Cookie
子域名：CSRF 令牌应限定范围，因为子域名接管可能导致 CSRF
Flash/PDF 上传：旧版浏览器插件可能绕过 SameSite
具有副作用的 GET 请求：切勿在 GET 请求上执行状态更改
令牌泄露：不要在 URL 中包含 CSRF 令牌
URL 中的令牌与头部中的令牌：优先使用自定义头部（X-CSRF-Token）而非 URL 参数

令牌是加密随机的（使用安全的随机数生成器）
令牌与用户会话绑定
在所有会改变状态的请求上，服务器端都验证令牌
缺少令牌 = 拒绝请求
身份验证状态改变时重新生成令牌
设置了 SameSite Cookie 属性
会话 Cookie 设置了 Secure 和 HttpOnly 标志

密钥和敏感数据泄露

任何密钥或敏感信息都不应被客户端代码访问到。

切勿在客户端代码中暴露

API 密钥和机密信息：

第三方 API 密钥（Stripe、AWS 等）
数据库连接字符串
JWT 签名密钥
加密密钥
OAuth 客户端密钥
内部服务 URL/凭据

敏感用户数据：

完整的信用卡号
社会安全号码
密码（即使是哈希值）
安全问题/答案
完整的电话号码（应进行掩码处理：- -1234）
不需要显示的敏感个人身份信息

基础设施详情：

内部 IP 地址
数据库模式
调试信息
生产环境中的堆栈跟踪
服务器软件版本

密钥可能隐藏的地方（检查这些！）

JavaScript 包（包括 source map）
HTML 注释
隐藏的表单字段
数据属性
LocalStorage/SessionStorage
SSR 应用中的初始状态/水合数据
通过构建工具暴露的环境变量（NEXT_PUBLIC__、REACT_APP__）

环境变量：将机密信息存储在 .env 文件中
仅限服务器端：仅从后端发起需要机密的 API 调用

任何接受 URL 进行重定向的端点都必须受到保护，以防开放重定向攻击。

白名单验证

allowed_domains = ['yourdomain.com', 'app.yourdomain.com']

function isValidRedirect(url): parsed = parseUrl(url) return parsed.hostname in allowed_domains
仅限相对 URL

 * 仅接受路径（例如 `/dashboard`），而非完整的 URL

 * 验证路径以 `/` 开头且不包含 `//`

 * 使用映射而非原始 URL：`?redirect=dashboard` → 查找映射到 `/dashboard`

需要阻止的绕过技术

技术	示例	原因
@ 符号	`https://legit.com@evil.com`	浏览器导航到 evil.com，并以 legit.com 作为用户名
子域名滥用	`https://legit.com.evil.com`	evil.com 拥有该子域名
协议技巧	`javascript:alert(1)`	通过重定向进行 XSS
双重 URL 编码	`%252f%252fevil.com`	双重解码后变为 `//evil.com`
反斜杠	`https://legit.com\@evil.com`	某些解析器将 `\` 规范化为 `/`
空字节	`https://legit.com%00.evil.com`	某些解析器在空字节处截断
制表符/换行符	`https://legit.com%09.evil.com`	空白字符混淆
Unicode 规范化	`https://legіt.com`（西里尔字母 і）	IDN 同形异义词攻击
Data URL	`data:text/html,<script>...`	直接执行负载
协议相对	`//evil.com`	使用当前页面的协议
片段滥用	`https://legit.com#@evil.com`	不同库的解析方式不同

IDN 同形异义词攻击防护

在验证前将 URL 转换为 Punycode
对于敏感的重定向，考虑完全阻止非 ASCII 域名

最少 8 个字符（建议 12 个以上）
无最大长度限制（或设置很高，例如 128 个字符）
允许所有字符，包括特殊字符
不要求特定的字符类型（让用户选择强密码）

使用 Argon2id、bcrypt 或 scrypt
切勿使用 MD5、SHA1 或纯 SHA256

服务器端请求伪造

任何服务器根据用户提供或影响的 URL 发起请求的功能都必须受到保护。

潜在的易受攻击功能

Webhook（用户提供回调 URL）
URL 预览
从 URL 生成 PDF
从 URL 获取图像/文件
从 URL 导入功能
RSS/feed 阅读器
与用户提供端点的 API 集成
代理功能
HTML 转 PDF/图像转换器

白名单方法（首选）

 * 仅允许向预先批准的域名发起请求

 * 为集成维护严格的白名单

 * 在隔离的网络中运行 URL 获取服务
 * 阻止访问内部网络、云元数据

需要阻止的 IP 和 DNS 绕过技术

技术	示例	描述
十进制 IP	`http://2130706433`	127.0.0.1 的十进制表示
八进制 IP	`http://0177.0.0.1`	八进制表示
十六进制 IP	`http://0x7f.0x0.0x0.0x1`	十六进制表示
IPv6 本地主机	`http://[::1]`	IPv6 环回地址
IPv6 映射的 IPv4	`http://[::ffff:127.0.0.1]`	IPv4 映射的 IPv6
短 IPv6	`http://[::]`	全零
DNS 重绑定	攻击者的 DNS 返回内部 IP	第一次请求解析为外部 IP，第二次解析为内部 IP
CNAME 指向内部	攻击者域名 CNAME 指向内部	DNS 指向内部主机名
URL 解析器混淆	`http://attacker.com#@internal`	不同的解析行为
重定向链	外部 URL 重定向到内部	小心处理重定向
IPv6 作用域 ID	`http://[fe80::1%25eth0]`	接口作用域的 IPv6
罕见的 IP 格式	`http://127.1`	简化的 IP 表示法

在发起请求前解析 DNS
验证解析出的 IP 不是内部 IP
为请求固定解析出的 IP（不要重新解析）
或者：延迟后解析两次，确保两次都解析到相同的外部 IP

阻止访问云元数据端点：

AWS：169.254.169.254
GCP：metadata.google.internal、169.254.169.254、http://metadata
Azure：169.254.169.254
DigitalOcean：169.254.169.254

验证 URL 方案仅为 HTTP/HTTPS
解析 DNS 并验证 IP 不是私有/内部 IP
明确阻止云元数据 IP
限制或禁用重定向跟随
如果跟随重定向，验证每一跳
设置请求超时
限制响应大小
尽可能使用网络隔离

不安全的文件上传

文件上传必须验证类型、内容和大小，以防止各种攻击。

1. 文件类型验证

根据白名单检查文件扩展名
验证魔数字节/文件签名与预期类型匹配
切勿仅依赖一种检查

2. 文件内容验证

读取并验证魔数字节
对于图像：尝试使用图像库进行处理（检测损坏的文件）
对于文档：扫描宏、嵌入对象
检查多态文件（作为多种类型都有效的文件）

3. 文件大小限制

在服务器端设置最大文件大小
同时配置 Web 服务器/代理的限制
考虑按文件类型设置限制（图像比视频小）

常见的绕过和攻击

攻击	描述	预防
扩展名绕过	`shell.php.jpg`	检查完整扩展名，使用白名单
空字节	`shell.php%00.jpg`	清理文件名，检查空字节
双重扩展名	`shell.jpg.php`	仅允许单一扩展名
MIME 类型欺骗	将 Content-Type 设置为 image/jpeg	验证魔数字节
魔数字节注入	在恶意文件前添加有效的魔数字节	检查整个文件结构，而不仅仅是头部
多态文件	文件同时是有效的 JPEG 和 JavaScript	按预期类型解析文件，如果无效则拒绝
包含 JavaScript 的 SVG	`<svg onload="alert(1)">`	清理 SVG 或完全禁止
通过文件上传进行 XXE	恶意的 DOCX、XLSX（本质是 XML）	在解析器中禁用外部实体
ZIP 路径遍历	存档中的 `../../../etc/passwd`	验证提取出的路径
ImageMagick 漏洞利用	特制的图像	保持 ImageMagick 更新，使用 policy.xml
文件名注入	文件名中的 `; rm -rf /`	清理文件名，使用随机名称
内容类型混淆	浏览器 MIME 嗅探	设置 `X-Content-Type-Options: nosniff`

类型	魔数字节（十六进制）
JPEG	`FF D8 FF`
PNG	`89 50 4E 47 0D 0A 1A 0A`
GIF	`47 49 46 38`
PDF	`25 50 44 46`
ZIP	`50 4B 03 04`
DOCX/XLSX	`50 4B 03 04`（基于 ZIP）

安全的上传处理

重命名文件：使用随机的 UUID 名称，丢弃原始名称
存储在 Web 根目录外：或为上传使用单独的域名
使用正确的头部提供文件： * Content-Disposition: attachment（强制下载） * X-Content-Type-Options: nosniff * Content-Type 与实际文件类型匹配
使用 CDN/单独域名：将上传的内容与主应用隔离
设置严格的权限：上传的文件不应是可执行的

当用户输入未经适当处理就合并到 SQL 查询中时，就会发生 SQL 注入。

1. 参数化查询（预编译语句） — 主要防御措施

-- VULNERABLE
query = "SELECT * FROM users WHERE id = " + userId

-- SECURE
query = "SELECT * FROM users WHERE id = ?"
execute(query, [userId])

使用能自动参数化的 ORM 方法
谨慎使用 ORM 中的原始查询方法
注意 ORM 特定的注入点

验证数据类型（整数应为整数）
在适用的情况下，设置允许值的白名单
这是纵深防御，不是主要防御措施

需要注意的注入点

WHERE 子句
ORDER BY 子句（常被忽视——无法使用参数，必须使用白名单）
LIMIT/OFFSET 值
表和列名（无法参数化——必须使用白名单）
INSERT 值
UPDATE SET 值
带有动态列表的 IN 子句
LIKE 模式（同时转义通配符：%、_）

最小权限：数据库用户应具有所需的最小权限
禁用危险函数：例如 SQL Server 中的 xp_cmdshell
错误处理：切勿向用户暴露 SQL 错误

XML 外部实体攻击

当 XML 解析器处理用户提供的 XML 中的外部实体引用时，就会发生 XXE 漏洞。

易受攻击的场景

直接 XML 输入：

SOAP API
XML-RPC
XML 文件上传
配置文件解析
RSS/Atom feed 处理

服务器端转换为 XML 的 JSON/其他格式
Office 文档（DOCX、XLSX、PPTX 是包含 XML 的 ZIP）
SVG 文件（基于 XML）
SAML 断言
带有 XFA 表单的 PDF

按语言/解析器预防

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
dbf.setExpandEntityReferences(false);

Python (lxml)：

from lxml import etree
parser = etree.XMLParser(resolve_entities=False, no_network=True)
# Or use defusedxml library

libxml_disable_entity_loader(true);
// Or use XMLReader with proper settings

// Use libraries that disable DTD processing by default
// If using libxmljs, set { noent: false, dtdload: false }

XmlReaderSettings settings = new XmlReaderSettings();
settings.DtdProcessing = DtdProcessing.Prohibit;
settings.XmlResolver = null;

如果可能，完全禁用 DTD 处理
禁用外部实体解析
禁用外部 DTD 加载
禁用 XInclude 处理
使用最新修补版本的 XML 解析器
如果需要 DTD，在解析前验证/清理 XML
在可能的情况下，考虑使用 JSON 替代 XML

当用户输入控制文件路径，允许访问预期目录之外的文件时，就会发生路径遍历漏洞。

易受攻击的模式

# VULNERABLE
file_path = "/uploads/" + user_input
file_path = base_dir + request.params['file']
template = "templates/" + user_provided_template

1. 避免在路径中使用用户输入

# Instead of using user input directly
# Use indirect references
files = {'report': '/reports/q1.pdf', 'invoice': '/invoices/2024.pdf'}
file_path = files.get(user_input)  # Returns None if invalid

2. 规范化和验证

import os

def safe_join(base_directory, user_path):
    # Ensure base is absolute and normalized
    base = os.path.abspath(os.path.realpath(base_directory))
    
    # Join and then resolve the result
    target = os.path.abspath(os.path.realpath(os.path.join(base, user_path)))
    
    # Ensure the commonpath is the base directory
    if os.path.commonpath([base, target]) != base:
        raise ValueError("Error!")
    
    return target

移除或拒绝 .. 序列
移除或拒绝绝对路径指示符（/、C:）
设置允许字符的白名单（字母数字、短横线、下划线）
如果适用，验证文件扩展名

路径遍历检查清单

切勿直接在文件路径中使用用户输入
规范化路径并根据基础目录进行验证
如果适用，限制文件扩展名
使用各种编码和绕过技术进行测试

在所有响应中包含以下头部：

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Content-Security-Policy: [see XSS section]
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
Referrer-Policy: strict-origin-when-cross-origin
Cache-Control: no-store (for sensitive pages)

JWT 配置错误可能导致完全的身份验证绕过和令牌伪造。

漏洞	预防措施
`alg: none` 攻击	始终在服务器端验证算法，拒绝 `none`
算法混淆	明确指定预期的算法，切勿从令牌推导
弱 HMAC 密钥	使用 256+ 位的加密随机密钥
缺少过期时间	始终设置 `exp` 声明
令牌存储在 localStorage	存储在 httpOnly、Secure、SameSite=Strict 的 Cookie 中，切勿存储在 localStorage

// 1. SIGNING
// Always use environment variables for secrets
const secret = process.env.JWT_SECRET; 

const token = jwt.sign({
  sub: userId,
  iat: Math.floor(Date.now() / 1000),
  exp: Math.floor(Date.now() / 1000) + (15 * 60), // 15 mins (Short-lived)
  jti: crypto.randomUUID() // Unique ID for revocation/blacklisting
}, secret, { 
  algorithm: 'HS256' 
});

// 2. SENDING (Cookie Best Practices)
// Protect against XSS and CSRF
res.cookie('token', token, {
  httpOnly: true, 
  secure: true,    
  sameSite: 'strict'
});

// 3. VERIFYING
// CRITICAL: Whitelist the allowed algorithm
jwt.verify(token, secret, { algorithms: ['HS256'] }, (err, decoded) => {
  if (err) {
    // Handle invalid token
  }
  // Trust the payload
});

验证时明确指定算法（切勿信任令牌头部）
拒绝 alg: none
密钥是 256+ 位的随机数据（不是密码或短语）
始终设置并验证 exp 声明
令牌存储在 httpOnly Cookie 中（而非 localStorage/sessionStorage）
实现刷新令牌轮换（使用后使旧的刷新令牌失效）

接受未过滤的请求体可能导致权限提升。

// VULNERABLE — user can set { role: "admin" } in request body
User.update(req.body)

// SECURE — whitelist allowed fields
const allowed = ['name', 'email', 'avatar']
const updates = pick(req.body, allowed)
User.update(updates)

这适用于任何 ORM/框架——始终明确定义请求可以修改哪些字段。

漏洞	预防措施
生产环境中的内省	在生产环境中禁用内省。
查询深度攻击	实现查询深度限制（例如，最多 10 层）。
查询复杂度攻击	计算并强制执行严格的查询成本限制。
批处理攻击	限制单个请求允许的操作数量。

const server = new ApolloServer({
  introspection: process.env.NODE_ENV !== 'production',
  validationRules: [
    depthLimit(10),
    costAnalysis({ maximumCost: 1000 })
  ]
})

生成代码时，始终：

在服务器端验证所有输入 — 切勿仅依赖客户端验证
使用参数化查询 — 切勿将用户输入拼接到查询中
根据上下文编码输出 — HTML、JS、URL、CSS 上下文需要不同的编码
应用身份验证检查 — 在每个端点上，而不仅仅是在路由层面
应用授权检查 — 验证用户可以访问特定资源
使用安全的默认设置
安全地处理错误 — 不要向用户泄露堆栈跟踪或内部细节
保持依赖项更新 — 使用工具跟踪存在漏洞的依赖项

当不确定时，选择限制性更强/更安全的选项，并在注释中记录安全考虑。

🇷🇺Русский

Secure Coding Guide for Web Applications

Overview

This guide provides comprehensive secure coding practices for web applications. As an AI assistant, your role is to approach code from a bug hunter's perspective and make applications as secure as possible without breaking functionality.

Key Principles:

Defense in depth: Never rely on a single security control
Fail securely: When something fails, fail closed (deny access)
Least privilege: Grant minimum permissions necessary
Input validation: Never trust user input, validate everything server-side
Output encoding: Encode data appropriately for the context it's rendered in

Access Control Issues

Access control vulnerabilities occur when users can access resources or perform actions beyond their intended permissions.

Core Requirements

For every data point and action that requires authentication:

User-Level Authorization
- Each user must only access/modify their own data
- No user should access data from other users or organizations
- Always verify ownership at the data layer, not just the route level
Use UUIDs Instead of Sequential IDs
- Use UUIDv4 or similar non-guessable identifiers
- Exception: Only use sequential IDs if explicitly requested by user
Account Lifecycle Handling
- When a user is removed from an organization: immediately revoke all access tokens and sessions
- When an account is deleted/deactivated: invalidate all active sessions and API keys
- Implement token revocation lists or short-lived tokens with refresh mechanisms

Authorization Checks Checklist

Verify user owns the resource on every request (don't trust client-side data)
Check organization membership for multi-tenant apps
Validate role permissions for role-based actions
Re-validate permissions after any privilege change
Check parent resource ownership (e.g., if accessing a comment, verify user owns the parent post)

Common Pitfalls to Avoid

IDOR (Insecure Direct Object Reference) : Always verify the requesting user has permission to access the requested resource ID
Privilege Escalation : Validate role changes server-side; never trust role info from client
Horizontal Access : User A accessing User B's resources with the same privilege level
Vertical Access : Regular user accessing admin functionality
Mass Assignment : Filter which fields users can update; don't blindly accept all request body fields

Implementation Pattern

# Pseudocode for secure resource access
function getResource(resourceId, currentUser):
    resource = database.find(resourceId)
    
    if resource is null:
        return 404  # Don't reveal if resource exists
    
    if resource.ownerId != currentUser.id:
        if not currentUser.hasOrgAccess(resource.orgId):
            return 404  # Return 404, not 403, to prevent enumeration
    
    return resource

Client-Side Bugs

Cross-Site Scripting (XSS)

Every input controllable by the user—whether directly or indirectly—must be sanitized against XSS.

Input Sources to Protect

Direct Inputs:

Form fields (email, name, bio, comments, etc.)
Search queries
File names during upload
Rich text editors / WYSIWYG content

Indirect Inputs:

URL parameters and query strings
URL fragments (hash values)
HTTP headers used in the application (Referer, User-Agent if displayed)
Data from third-party APIs displayed to users
WebSocket messages
postMessage data from iframes
LocalStorage/SessionStorage values if rendered

Often Overlooked:

Error messages that reflect user input
PDF/document generators that accept HTML
Email templates with user data
Log viewers in admin panels
JSON responses rendered as HTML
SVG file uploads (can contain JavaScript)
Markdown rendering (if allowing HTML)

Protection Strategies

Output Encoding (Context-Specific)
- HTML context: HTML entity encode (< → <)
- JavaScript context: JavaScript escape
- URL context: URL encode
- CSS context: CSS escape
- Use framework's built-in escaping (React's JSX, Vue's {{ }}, etc.)

Content Security Policy (CSP)

Content-Security-Policy: 
  default-src 'self';
  script-src 'self';
  style-src 'self' 'unsafe-inline';
  img-src 'self' data: https:;
  font-src 'self';
  connect-src 'self' https://api.yourdomain.com;
  frame-ancestors 'none';
  base-uri 'self';
  form-action 'self';

Avoid 'unsafe-inline' and 'unsafe-eval' for scripts
Use nonces or hashes for inline scripts when necessary
Report violations: report-uri /csp-report

Cross-Site Request Forgery (CSRF)

Every state-changing endpoint must be protected against CSRF attacks.

Endpoints Requiring CSRF Protection

Authenticated Actions:

All POST, PUT, PATCH, DELETE requests
Any GET request that changes state (fix these to use proper HTTP methods)
File uploads
Settings changes
Payment/transaction endpoints

Pre-Authentication Actions:

Login endpoints (prevent login CSRF)
Signup endpoints
Password reset request endpoints
Password change endpoints
Email/phone verification endpoints
OAuth callback endpoints

Protection Mechanisms

CSRF Tokens
- Generate cryptographically random tokens
- Tie token to user session
- Validate on every state-changing request
- Regenerate after login (prevent session fixation combo)
SameSite Cookies
```
Set-Cookie: session=abc123; SameSite=Strict; Secure; HttpOnly
```
- Strict: Cookie never sent cross-site (best security)
- Lax: Cookie sent on top-level navigations (good balance)
- Always combine with CSRF tokens for defense in depth
Double Submit Cookie Pattern
- Send CSRF token in both cookie and request body/header
- Server validates they match

Edge Cases and Common Mistakes

Token presence check : CSRF validation must NOT depend on whether the token is present, always require it
Token per form : Consider unique tokens per form for sensitive operations
JSON APIs : Don't assume JSON content-type prevents CSRF; validate Origin/Referer headers AND use tokens
CORS misconfiguration : Overly permissive CORS can bypass SameSite cookies
Subdomains : CSRF tokens should be scoped because subdomain takeover can lead to CSRF
Flash/PDF uploads : Legacy browser plugins could bypass SameSite
GET requests with side effects : Never perform state changes on GET
Token leakage : Don't include CSRF tokens in URLs
Token in URL vs Header : Prefer custom headers (X-CSRF-Token) over URL parameters

Verification Checklist

Token is cryptographically random (use secure random generator)
Token is tied to user session
Token is validated server-side on all state-changing requests
Missing token = rejected request
Token regenerated on authentication state change
SameSite cookie attribute is set
Secure and HttpOnly flags on session cookies

Secret Keys and Sensitive Data Exposure

No secrets or sensitive information should be accessible to client-side code.

Never Expose in Client-Side Code

API Keys and Secrets:

Third-party API keys (Stripe, AWS, etc.)
Database connection strings
JWT signing secrets
Encryption keys
OAuth client secrets
Internal service URLs/credentials

Sensitive User Data:

Full credit card numbers
Social Security Numbers
Passwords (even hashed)
Security questions/answers
Full phone numbers (mask them: - -1234)
Sensitive PII that isn't needed for display

Infrastructure Details:

Internal IP addresses
Database schemas
Debug information
Stack traces in production
Server software versions

Where Secrets Hide (Check These!)

JavaScript bundles (including source maps)
HTML comments
Hidden form fields
Data attributes
LocalStorage/SessionStorage
Initial state/hydration data in SSR apps
Environment variables exposed via build tools (NEXT_PUBLIC__, REACT_APP__)

Best Practices

Environment Variables : Store secrets in .env files
Server-Side Only : Make API calls requiring secrets from backend only

Open Redirect

Any endpoint accepting a URL for redirection must be protected against open redirect attacks.

Protection Strategies

Allowlist Validation

allowed_domains = ['yourdomain.com', 'app.yourdomain.com']

function isValidRedirect(url):
    parsed = parseUrl(url)
    return parsed.hostname in allowed_domains

Relative URLs Only
- Only accept paths (e.g., /dashboard) not full URLs
- Validate the path starts with / and doesn't contain //
Indirect References
- Use a mapping instead of raw URLs: ?redirect=dashboard → lookup to /dashboard

Bypass Techniques to Block

Technique	Example	Why It Works
@ symbol	`https://legit.com@evil.com`	Browser navigates to evil.com with legit.com as username
Subdomain abuse	`https://legit.com.evil.com`	evil.com owns the subdomain
Protocol tricks	`javascript:alert(1)`	XSS via redirect
Double URL encoding	`%252f%252fevil.com`	Decodes to `//evil.com` after double decode
Backslash

IDN Homograph Attack Protection

Convert URLs to Punycode before validation
Consider blocking non-ASCII domains entirely for sensitive redirects

Password Security

Password Requirements

Minimum 8 characters (12+ recommended)
No maximum length (or very high, e.g., 128 chars)
Allow all characters including special chars
Don't require specific character types (let users choose strong passwords)

Storage

Use Argon2id, bcrypt, or scrypt
Never MD5, SHA1, or plain SHA256

Server-Side Bugs

Server-Side Request Forgery (SSRF)

Any functionality where the server makes requests to URLs provided or influenced by users must be protected.

Potential Vulnerable Features

Webhooks (user provides callback URL)
URL previews
PDF generators from URLs
Image/file fetching from URLs
Import from URL features
RSS/feed readers
API integrations with user-provided endpoints
Proxy functionality
HTML to PDF/image converters

Protection Strategies

Allowlist Approach (Preferred)
- Only allow requests to pre-approved domains
- Maintain a strict allowlist for integrations
Network Segmentation
- Run URL-fetching services in isolated network
- Block access to internal network, cloud metadata

IP and DNS Bypass Techniques to Block

Technique	Example	Description
Decimal IP	`http://2130706433`	127.0.0.1 as decimal
Octal IP	`http://0177.0.0.1`	Octal representation
Hex IP	`http://0x7f.0x0.0x0.0x1`	Hexadecimal
IPv6 localhost	`http://[::1]`	IPv6 loopback
IPv6 mapped IPv4	`http://[::ffff:127.0.0.1]`

DNS Rebinding Prevention

Resolve DNS before making request
Validate resolved IP is not internal
Pin the resolved IP for the request (don't re-resolve)
Or: Resolve twice with delay, ensure both resolve to same external IP

Cloud Metadata Protection

Block access to cloud metadata endpoints:

AWS: 169.254.169.254
GCP: metadata.google.internal, 169.254.169.254, http://metadata
Azure: 169.254.169.254
DigitalOcean: 169.254.169.254

Implementation Checklist

Validate URL scheme is HTTP/HTTPS only
Resolve DNS and validate IP is not private/internal
Block cloud metadata IPs explicitly
Limit or disable redirect following
If following redirects, validate each hop
Set timeout on requests
Limit response size
Use network isolation where possible

Insecure File Upload

File uploads must validate type, content, and size to prevent various attacks.

Validation Requirements

1. File Type Validation

Check file extension against allowlist
Validate magic bytes/file signature match expected type
Never rely on just one check

2. File Content Validation

Read and verify magic bytes
For images: attempt to process with image library (detects malformed files)
For documents: scan for macros, embedded objects
Check for polyglot files (files valid as multiple types)

3. File Size Limits

Set maximum file size server-side
Configure web server/proxy limits as well
Consider per-file-type limits (images smaller than videos)

Common Bypasses and Attacks

Attack	Description	Prevention
Extension bypass	`shell.php.jpg`	Check full extension, use allowlist
Null byte	`shell.php%00.jpg`	Sanitize filename, check for null bytes
Double extension	`shell.jpg.php`	Only allow single extension
MIME type spoofing	Set Content-Type to image/jpeg	Validate magic bytes
Magic byte injection	Prepend valid magic bytes to malicious file	Check entire file structure, not just header
Polyglot files	File valid as both JPEG and JavaScript	Parse file as expected type, reject if invalid

Magic Bytes Reference

Type	Magic Bytes (hex)
JPEG	`FF D8 FF`
PNG	`89 50 4E 47 0D 0A 1A 0A`
GIF	`47 49 46 38`
PDF	`25 50 44 46`
ZIP	`50 4B 03 04`
DOCX/XLSX	`50 4B 03 04` (ZIP-based)

Secure Upload Handling

Rename files : Use random UUID names, discard original
Store outside webroot : Or use separate domain for uploads
Serve with correct headers :
- Content-Disposition: attachment (forces download)
- X-Content-Type-Options: nosniff
- Content-Type matching actual file type
Use CDN/separate domain : Isolate uploaded content from main app
Set restrictive permissions : Uploaded files should not be executable

SQL Injection

SQL injection occurs when user input is incorporated into SQL queries without proper handling.

Prevention Methods

1. Parameterized Queries (Prepared Statements) — PRIMARY DEFENSE

-- VULNERABLE
query = "SELECT * FROM users WHERE id = " + userId

-- SECURE
query = "SELECT * FROM users WHERE id = ?"
execute(query, [userId])

2. ORM Usage

Use ORM methods that automatically parameterize
Be cautious with raw query methods in ORMs
Watch for ORM-specific injection points

3. Input Validation

Validate data types (integer should be integer)
Whitelist allowed values where applicable
This is defense-in-depth, not primary defense

Injection Points to Watch

WHERE clauses
ORDER BY clauses (often overlooked—can't use parameters, must whitelist)
LIMIT/OFFSET values
Table and column names (can't parameterize—must whitelist)
INSERT values
UPDATE SET values
IN clauses with dynamic lists
LIKE patterns (also escape wildcards: %, _)

Additional Defenses

Least privilege : Database user should have minimum required permissions
Disable dangerous functions : Like xp_cmdshell in SQL Server
Error handling : Never expose SQL errors to users

XML External Entity (XXE)

XXE vulnerabilities occur when XML parsers process external entity references in user-supplied XML.

Vulnerable Scenarios

Direct XML Input:

SOAP APIs
XML-RPC
XML file uploads
Configuration file parsing
RSS/Atom feed processing

Indirect XML:

JSON/other format converted to XML server-side
Office documents (DOCX, XLSX, PPTX are ZIP with XML)
SVG files (XML-based)
SAML assertions
PDF with XFA forms

Prevention by Language/Parser

Java:

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
dbf.setExpandEntityReferences(false);

Python (lxml):

from lxml import etree
parser = etree.XMLParser(resolve_entities=False, no_network=True)
# Or use defusedxml library

PHP:

libxml_disable_entity_loader(true);
// Or use XMLReader with proper settings

Node.js:

// Use libraries that disable DTD processing by default
// If using libxmljs, set { noent: false, dtdload: false }

.NET:

XmlReaderSettings settings = new XmlReaderSettings();
settings.DtdProcessing = DtdProcessing.Prohibit;
settings.XmlResolver = null;

XXE Prevention Checklist

Disable DTD processing entirely if possible
Disable external entity resolution
Disable external DTD loading
Disable XInclude processing
Use latest patched XML parser versions
Validate/sanitize XML before parsing if DTD needed
Consider using JSON instead of XML where possible

Path Traversal

Path traversal vulnerabilities occur when user input controls file paths, allowing access to files outside intended directories.

Vulnerable Patterns

# VULNERABLE
file_path = "/uploads/" + user_input
file_path = base_dir + request.params['file']
template = "templates/" + user_provided_template

Prevention Strategies

1. Avoid User Input in Paths

# Instead of using user input directly
# Use indirect references
files = {'report': '/reports/q1.pdf', 'invoice': '/invoices/2024.pdf'}
file_path = files.get(user_input)  # Returns None if invalid

2. Canonicalization and Validation

import os

def safe_join(base_directory, user_path):
    # Ensure base is absolute and normalized
    base = os.path.abspath(os.path.realpath(base_directory))
    
    # Join and then resolve the result
    target = os.path.abspath(os.path.realpath(os.path.join(base, user_path)))
    
    # Ensure the commonpath is the base directory
    if os.path.commonpath([base, target]) != base:
        raise ValueError("Error!")
    
    return target

3. Input Sanitization

Remove or reject .. sequences
Remove or reject absolute path indicators (/, C:)
Whitelist allowed characters (alphanumeric, dash, underscore)
Validate file extension if applicable

Path Traversal Checklist

Never use user input directly in file paths
Canonicalize paths and validate against base directory
Restrict file extensions if applicable
Test with various encoding and bypass techniques

Security Headers Checklist

Include these headers in all responses:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Content-Security-Policy: [see XSS section]
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
Referrer-Policy: strict-origin-when-cross-origin
Cache-Control: no-store (for sensitive pages)

JWT Security

JWT misconfigurations can lead to full authentication bypass and token forgery.

Vulnerabilities

Vulnerability	Prevention
`alg: none` attack	Always verify algorithm server-side, reject `none`
Algorithm confusion	Explicitly specify expected algorithm, never derive from token
Weak HMAC secrets	Use 256+ bit cryptographically random secrets
Missing expiration	Always set `exp` claim
Token in localStorage	Store in httpOnly, Secure, SameSite=Strict cookies, never localStorage

Secure Implementation

// 1. SIGNING
// Always use environment variables for secrets
const secret = process.env.JWT_SECRET; 

const token = jwt.sign({
  sub: userId,
  iat: Math.floor(Date.now() / 1000),
  exp: Math.floor(Date.now() / 1000) + (15 * 60), // 15 mins (Short-lived)
  jti: crypto.randomUUID() // Unique ID for revocation/blacklisting
}, secret, { 
  algorithm: 'HS256' 
});

// 2. SENDING (Cookie Best Practices)
// Protect against XSS and CSRF
res.cookie('token', token, {
  httpOnly: true, 
  secure: true,    
  sameSite: 'strict'
});

// 3. VERIFYING
// CRITICAL: Whitelist the allowed algorithm
jwt.verify(token, secret, { algorithms: ['HS256'] }, (err, decoded) => {
  if (err) {
    // Handle invalid token
  }
  // Trust the payload
});

JWT Checklist

Algorithm explicitly specified on verification (never trust token header)
alg: none rejected
Secret is 256+ bits of random data (not a password or phrase)
exp claim always set and validated
Tokens stored in httpOnly cookies (not localStorage/sessionStorage)
Refresh token rotation implemented (old refresh token invalidated on use)

API Security

Mass Assignment

Accepting unfiltered request bodies can lead to privilege escalation.

// VULNERABLE — user can set { role: "admin" } in request body
User.update(req.body)

// SECURE — whitelist allowed fields
const allowed = ['name', 'email', 'avatar']
const updates = pick(req.body, allowed)
User.update(updates)

This applies to any ORM/framework — always explicitly define which fields a request can modify.

GraphQL

Vulnerability	Prevention
Introspection in production	Disable introspection in production environments.
Query depth attack	Implement query depth limiting (e.g., maximum of 10 levels).
Query complexity attack	Calculate and enforce strict query cost limits.
Batching attack	Limit the number of operations allowed per single request.

const server = new ApolloServer({
  introspection: process.env.NODE_ENV !== 'production',
  validationRules: [
    depthLimit(10),
    costAnalysis({ maximumCost: 1000 })
  ]
})

General Security Principles

When generating code, always:

Validate all input server-side — Never trust client-side validation alone
Use parameterized queries — Never concatenate user input into queries
Encode output contextually — HTML, JS, URL, CSS contexts need different encoding
Apply authentication checks — On every endpoint, not just at routing
Apply authorization checks — Verify the user can access the specific resource
Use secure defaults
Handle errors securely — Don't leak stack traces or internal details to users
Keep dependencies updated — Use tools to track vulnerable dependencies

When unsure, choose the more restrictive/secure option and document the security consideration in comments.

Weekly Installs

Repository

behisecc/vibesec-skill

GitHub Stars

627

First Seen

Feb 18, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykPass

Installed on

opencode28

gemini-cli28

codex28

github-copilot27

cursor27

amp25

浏览器自动化策略指南：何时及如何使用实时浏览器会话进行网页调试与研究

43,400 周安装

Input Sanitization

Use established libraries (DOMPurify for HTML)
Whitelist allowed tags/attributes for rich text
Strip or encode dangerous patterns

Additional Headers

X-Content-Type-Options: nosniff
X-Frame-Options: DENY (or use CSP frame-ancestors)

Web应用程序安全编码指南：漏洞猎手视角的纵深防御实践

🇨🇳中文介绍

Web 应用程序安全编码指南

概述

访问控制问题

核心要求

相关 Skills

授权检查清单

需避免的常见陷阱

实现模式

客户端漏洞

跨站脚本攻击

需要保护的输入源

防护策略

跨站请求伪造

需要 CSRF 保护的端点

防护机制

边缘情况和常见错误

验证清单

密钥和敏感数据泄露

切勿在客户端代码中暴露

密钥可能隐藏的地方（检查这些！）

最佳实践

开放重定向

防护策略

需要阻止的绕过技术

IDN 同形异义词攻击防护

密码安全

密码要求

存储

服务器端漏洞

服务器端请求伪造

潜在的易受攻击功能

防护策略

需要阻止的 IP 和 DNS 绕过技术

DNS 重绑定预防

云元数据保护

实现清单

不安全的文件上传

验证要求

常见的绕过和攻击

魔数字节参考

安全的上传处理

SQL 注入

预防方法

需要注意的注入点

附加防御措施

XML 外部实体攻击

易受攻击的场景

按语言/解析器预防

XXE 预防清单

路径遍历

易受攻击的模式

预防策略

路径遍历检查清单

安全头部清单

JWT 安全

漏洞

安全实现

JWT 检查清单

API 安全

批量赋值

GraphQL

通用安全原则

🇷🇺Русский

Secure Coding Guide for Web Applications

Overview

Access Control Issues

Core Requirements

Authorization Checks Checklist

Common Pitfalls to Avoid

Implementation Pattern

Client-Side Bugs

Cross-Site Scripting (XSS)

Input Sources to Protect

Protection Strategies

Cross-Site Request Forgery (CSRF)

Endpoints Requiring CSRF Protection

Protection Mechanisms

Edge Cases and Common Mistakes