2025漏洞扫描器与安全评估指南：OWASP Top 10、供应链安全与风险优先级排序

vulnerability-scanner by claudiodearaujo/izacenter

1 周安装量

1 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/claudiodearaujo/izacenter --skill vulnerability-scanner

自动化测试安全

🇨🇳中文介绍

漏洞扫描器

像攻击者一样思考，像专家一样防御。2025年威胁态势感知。

🔧 运行时脚本

执行以下脚本进行自动化验证：

脚本	用途	使用方式
`scripts/security_scan.py`	验证应用的安全原则	`python scripts/security_scan.py <project_path>`

📋 参考文件

文件	用途
checklists.md	OWASP Top 10、认证、API、数据保护检查清单

1. 安全专家思维模式

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

原则	应用
假设已失陷	设计时假设攻击者已在内部
零信任	永不信任，始终验证
纵深防御	多层防护，无单点故障
最小权限	仅授予所需的最小访问权限
故障安全	出错时，拒绝访问

2. OWASP Top 10:2025

排名	类别	思考要点
A01	失效的访问控制	谁能访问什么？IDOR、SSRF
A02	安全配置错误	默认设置、标头、暴露的服务
A03	软件供应链 🆕	依赖项、CI/CD、构建完整性
A04	加密机制失效	弱加密、暴露的密钥
A05	注入	用户输入 → 系统命令
A06	不安全的设计	有缺陷的架构
A07	身份验证失效	会话、凭据管理
A08	完整性失效	未签名的更新、被篡改的数据
A09	日志记录与监控不足	盲点、缺乏监控
A10	异常条件处理 🆕	错误处理、故障开放状态

2021 → 2025 变化：
├── SSRF 并入 A01（访问控制）
├── A02 重要性提升（云/容器配置）
├── A03 新增：供应链（重点关注）
├── A10 新增：异常条件处理
└── 焦点转移：根本原因 > 症状

3. 供应链安全 (A03)

向量	风险	需要思考的问题
依赖项	恶意软件包	我们是否审计新的依赖项？
锁定文件	完整性攻击	它们是否已提交？
构建流水线	CI/CD 被入侵	谁可以修改？
注册表	域名仿冒	是否使用已验证的来源？

验证软件包完整性（校验和）
固定版本，审计更新
对关键依赖项使用私有注册表
对制品进行签名和验证

需要映射的内容

类别	要素
入口点	API、表单、文件上传
数据流	输入 → 处理 → 输出
信任边界	进行身份验证/授权检查的位置
资产	密钥、个人身份信息、业务数据

风险 = 可能性 × 影响

高影响 + 高可能性 → 严重
高影响 + 低可能性  → 高
低影响 + 高可能性  → 中
低影响 + 低可能性   → 低

5. 风险优先级排序

因素	权重	问题
CVSS 分数	基础严重性	漏洞有多严重？
EPSS 分数	利用可能性	是否正在被利用？
资产价值	业务上下文	面临风险的是什么？
暴露程度	攻击面	是否面向互联网？

是否正在被积极利用 (EPSS >0.5)？
├── 是 → 严重：立即行动
└── 否 → 检查 CVSS
         ├── CVSS ≥9.0 → 高
         ├── CVSS 7.0-8.9 → 考虑资产价值
         └── CVSS <7.0 → 稍后安排

6. 异常条件处理 (A10 - 新增)

故障开放 vs 故障关闭

场景	故障开放 (错误)	故障关闭 (正确)
身份验证错误	允许访问	拒绝访问
解析失败	接受输入	拒绝输入
超时	无限重试	限制 + 中止

需要检查的内容

捕获所有异常并忽略的异常处理器
安全操作缺少错误处理
身份验证/授权中的竞争条件
资源耗尽场景

1. 侦察
   └── 理解目标
       ├── 技术栈
       ├── 入口点
       └── 数据流

2. 发现
   └── 识别潜在问题
       ├── 配置审查
       ├── 依赖项分析
       └── 代码模式搜索

3. 分析
   └── 验证和确定优先级
       ├── 消除误报
       ├── 风险评分
       └── 攻击链映射

4. 报告
   └── 可操作的发现
       ├── 清晰的复现步骤
       ├── 业务影响
       └── 修复指导

8. 代码模式分析

模式	风险	查找内容
查询中的字符串拼接	注入	`"SELECT * FROM " + user_input`
动态代码执行	RCE	`eval()`、`exec()`、`Function()`
不安全的反序列化	RCE	`pickle.loads()`、`unserialize()`
路径操作	遍历	文件路径中的用户输入
禁用的安全功能	多种	`verify=False`、`--insecure`

类型	指示符
API 密钥	`api_key`、`apikey`、高熵值
令牌	`token`、`bearer`、`jwt`
凭据	`password`、`secret`、`key`
云服务	前缀为 `AWS_`、`AZURE_`、`GCP_`

9. 云安全注意事项

层级	您负责	提供商负责
数据	✅	❌
应用程序	✅	❌
操作系统/运行时	视情况而定	视情况而定
基础设施	❌	✅

IAM：是否应用了最小权限原则？
存储：是否存在公开的存储桶？
网络：安全组是否已收紧？
密钥：是否使用密钥管理器？

❌ 不要	✅ 要做
在不理解的情况下扫描	首先映射攻击面
对每个 CVE 都发出警报	根据可利用性和资产确定优先级
忽略误报	维护已验证的基线
仅修复症状	解决根本原因
仅在部署前扫描一次	持续扫描
盲目信任第三方依赖项	验证完整性，审计代码

每个发现项应回答：

是什么？ - 清晰的漏洞描述
在哪里？ - 确切位置（文件、行号、端点）
为什么？ - 根本原因解释
影响？ - 业务后果
如何修复？ - 具体的修复方案

严重性	标准
严重	RCE、身份验证绕过、大规模数据泄露
高	数据泄露、权限提升
中	范围有限，需要特定条件
低	信息性，最佳实践

记住： 漏洞扫描发现的是问题。专家思维确定的是哪些问题重要。始终要问："攻击者会利用这个做什么？"

🇺🇸English

Vulnerability Scanner

Think like an attacker, defend like an expert. 2025 threat landscape awareness.

🔧 Runtime Scripts

Execute for automated validation:

Script	Purpose	Usage
`scripts/security_scan.py`	Validate security principles applied	`python scripts/security_scan.py <project_path>`

📋 Reference Files

File	Purpose
checklists.md	OWASP Top 10, Auth, API, Data protection checklists

1. Security Expert Mindset

Core Principles

Principle	Application
Assume Breach	Design as if attacker already inside
Zero Trust	Never trust, always verify
Defense in Depth	Multiple layers, no single point
Least Privilege	Minimum required access only
Fail Secure	On error, deny access

Threat Modeling Questions

Before scanning, ask:

What are we protecting? (Assets)
Who would attack? (Threat actors)
How would they attack? (Attack vectors)
What's the impact? (Business risk)

2. OWASP Top 10:2025

Risk Categories

Rank	Category	Think About
A01	Broken Access Control	Who can access what? IDOR, SSRF
A02	Security Misconfiguration	Defaults, headers, exposed services
A03	Software Supply Chain 🆕	Dependencies, CI/CD, build integrity
A04	Cryptographic Failures	Weak crypto, exposed secrets
A05	Injection	User input → system commands
A06	Insecure Design	Flawed architecture
A07	Authentication Failures	Session, credential management
A08

2025 Key Changes

2021 → 2025 Shifts:
├── SSRF merged into A01 (Access Control)
├── A02 elevated (Cloud/Container configs)
├── A03 NEW: Supply Chain (major focus)
├── A10 NEW: Exceptional Conditions
└── Focus shift: Root causes > Symptoms

3. Supply Chain Security (A03)

Attack Surface

Vector	Risk	Question to Ask
Dependencies	Malicious packages	Do we audit new deps?
Lock files	Integrity attacks	Are they committed?
Build pipeline	CI/CD compromise	Who can modify?
Registry	Typosquatting	Verified sources?

Defense Principles

Verify package integrity (checksums)
Pin versions, audit updates
Use private registries for critical deps
Sign and verify artifacts

4. Attack Surface Mapping

What to Map

Category	Elements
Entry Points	APIs, forms, file uploads
Data Flows	Input → Process → Output
Trust Boundaries	Where auth/authz checked
Assets	Secrets, PII, business data

Prioritization Matrix

Risk = Likelihood × Impact

High Impact + High Likelihood → CRITICAL
High Impact + Low Likelihood  → HIGH
Low Impact + High Likelihood  → MEDIUM
Low Impact + Low Likelihood   → LOW

5. Risk Prioritization

CVSS + Context

Factor	Weight	Question
CVSS Score	Base severity	How severe is the vuln?
EPSS Score	Exploit likelihood	Is it being exploited?
Asset Value	Business context	What's at risk?
Exposure	Attack surface	Internet-facing?

Prioritization Decision Tree

Is it actively exploited (EPSS >0.5)?
├── YES → CRITICAL: Immediate action
└── NO → Check CVSS
         ├── CVSS ≥9.0 → HIGH
         ├── CVSS 7.0-8.9 → Consider asset value
         └── CVSS <7.0 → Schedule for later

6. Exceptional Conditions (A10 - New)

Fail-Open vs Fail-Closed

Scenario	Fail-Open (BAD)	Fail-Closed (GOOD)
Auth error	Allow access	Deny access
Parsing fails	Accept input	Reject input
Timeout	Retry forever	Limit + abort

What to Check

Exception handlers that catch-all and ignore
Missing error handling on security operations
Race conditions in auth/authz
Resource exhaustion scenarios

7. Scanning Methodology

Phase-Based Approach

1. RECONNAISSANCE
   └── Understand the target
       ├── Technology stack
       ├── Entry points
       └── Data flows

2. DISCOVERY
   └── Identify potential issues
       ├── Configuration review
       ├── Dependency analysis
       └── Code pattern search

3. ANALYSIS
   └── Validate and prioritize
       ├── False positive elimination
       ├── Risk scoring
       └── Attack chain mapping

4. REPORTING
   └── Actionable findings
       ├── Clear reproduction steps
       ├── Business impact
       └── Remediation guidance

8. Code Pattern Analysis

High-Risk Patterns

Pattern	Risk	Look For
String concat in queries	Injection	`"SELECT * FROM " + user_input`
Dynamic code execution	RCE	`eval()`, `exec()`, `Function()`
Unsafe deserialization	RCE	`pickle.loads()`, `unserialize()`

Secret Patterns

Type	Indicators
API Keys	`api_key`, `apikey`, high entropy
Tokens	`token`, `bearer`, `jwt`
Credentials	`password`, `secret`, `key`
Cloud	, , prefixes

9. Cloud Security Considerations

Shared Responsibility

Layer	You Own	Provider Owns
Data	✅	❌
Application	✅	❌
OS/Runtime	Depends	Depends
Infrastructure	❌	✅

Cloud-Specific Checks

IAM: Least privilege applied?
Storage: Public buckets?
Network: Security groups tightened?
Secrets: Using secrets manager?

10. Anti-Patterns

❌ Don't	✅ Do
Scan without understanding	Map attack surface first
Alert on every CVE	Prioritize by exploitability + asset
Ignore false positives	Maintain verified baseline
Fix symptoms only	Address root causes
Scan once before deploy	Continuous scanning
Trust third-party deps blindly	Verify integrity, audit code

11. Reporting Principles

Finding Structure

Each finding should answer:

What? - Clear vulnerability description
Where? - Exact location (file, line, endpoint)
Why? - Root cause explanation
Impact? - Business consequence
How to fix? - Specific remediation

Severity Classification

Severity	Criteria
Critical	RCE, auth bypass, mass data exposure
High	Data exposure, privilege escalation
Medium	Limited scope, requires conditions
Low	Informational, best practice

Remember: Vulnerability scanning finds issues. Expert thinking prioritizes what matters. Always ask: "What would an attacker do with this?"

Weekly Installs

Repository

claudiodearaujo…zacenter

GitHub Stars

First Seen

1 day ago

Security Audits

Gen Agent Trust HubPass SocketPass SnykPass

Installed on

zencoder1

amp1

cline1

openclaw1

opencode1

cursor1

通过 LiteLLM 代理让 Claude Code 对接 GitHub Copilot 运行 | 高级变通方案指南

31,600 周安装

2025漏洞扫描器与安全评估指南：OWASP Top 10、供应链安全与风险优先级排序

🇨🇳中文介绍

漏洞扫描器

🔧 运行时脚本

📋 参考文件

1. 安全专家思维模式

相关 Skills

核心原则

威胁建模问题

2. OWASP Top 10:2025

风险类别

2025年关键变化

3. 供应链安全 (A03)

攻击面

防御原则

4. 攻击面映射

需要映射的内容

优先级矩阵

5. 风险优先级排序

CVSS + 上下文

优先级决策树

6. 异常条件处理 (A10 - 新增)

故障开放 vs 故障关闭

需要检查的内容

7. 扫描方法论

分阶段方法

8. 代码模式分析

高风险模式

密钥模式

9. 云安全注意事项

责任共担模型

云特定检查项

10. 反模式

11. 报告原则

发现项结构

严重性分类

🇺🇸English

Vulnerability Scanner

🔧 Runtime Scripts

📋 Reference Files

1. Security Expert Mindset

Core Principles

Threat Modeling Questions

2. OWASP Top 10:2025

Risk Categories

2025 Key Changes

3. Supply Chain Security (A03)

Attack Surface

Defense Principles

4. Attack Surface Mapping

What to Map

Prioritization Matrix

5. Risk Prioritization

CVSS + Context

Prioritization Decision Tree

6. Exceptional Conditions (A10 - New)

Fail-Open vs Fail-Closed

What to Check

7. Scanning Methodology

Phase-Based Approach

8. Code Pattern Analysis

High-Risk Patterns

Secret Patterns

9. Cloud Security Considerations

Shared Responsibility

Cloud-Specific Checks

10. Anti-Patterns

11. Reporting Principles

Finding Structure

Severity Classification

最新 Skills