安全审计工具 - 自动化代码漏洞扫描与OWASP合规分析，提供修复方案

The Agent Skills Directory

安装命令

npx skills add https://smithery.ai/skills/CaptainCrouton89/auditing-security

自动化代码质量安全

🇨🇳中文介绍

安全审计

概述

全面的安全分析，用于识别漏洞、评估风险并提供符合行业标准（OWASP Top 10，CVSS 评分）的修复指导。

输入：

待审计的代码库
docs/system-design.md - 架构上下文
docs/api-contracts.yaml - API 规范
docs/feature-spec/F-##-*.md - 功能实现

输出：

按严重程度（CRITICAL，HIGH，MEDIUM，LOW）组织的安全发现
CVSS 评分和 OWASP Top 10 映射
利用场景和修复代码
按风险优先级排序的修复计划

快速开始

提供上下文请求安全审计：

审计什么？ 功能、组件或完整应用程序
关注点？ 注入、身份验证绕过、数据泄露、访问控制、API 安全
敏感数据？ 个人身份信息（PII）、凭证、财务数据、健康信息、商业机密
现有安全措施？ JWT/会话、RBAC/ABAC、TLS、输入验证、安全头、速率限制

范围发现

Q1：审计范围

特定功能或组件
整个应用程序（完整安全审计）
已知漏洞调查
合规性检查（OWASP Top 10，PCI-DSS，GDPR）
安全问题的代码审查
基础设施和配置

Q2：威胁模型

数据泄露和泄漏
身份验证绕过
注入攻击（SQL，XSS，命令）
访问控制失效
API 安全
基础设施漏洞
依赖项漏洞

Q3：敏感级别

个人身份信息（PII）
身份验证凭证
财务数据（支付信息，交易）
健康信息（HIPAA）
商业机密或专有数据
用户生成内容

Q4：现有安全措施（可选）

身份验证方法（JWT，会话，OAuth）
授权模型（RBAC，ABAC）
加密（TLS，静态加密）
输入验证和清理
安全头（CSP，HSTS 等）
速率限制和节流
日志记录和监控

安全审查策略

顺序审查（针对性审计）

何时使用： 小型代码库、单一漏洞调查、特定攻击向量、<5 个文件

使用直接工具一次审查一个领域的漏洞：

注入漏洞：

SQL 注入：查询中的字符串拼接（db.query("SELECT * FROM users WHERE id = '" + id + "'")）
XSS：dangerouslySetInnerHTML，未清理的 HTML（.innerHTML = userInput）
命令注入：Shell 命令构造（exec('rm ' + filename)）
NoSQL 注入，LDAP 注入
搜索：db.query(，eval(，exec(，.innerHTML

身份验证/授权：

缺少身份验证检查的端点
弱密码要求
身份验证端点缺少速率限制
会话管理问题
访问控制失效，权限提升
搜索：路由处理程序、身份验证中间件、权限检查

敏感数据暴露：

硬编码的密钥：API 密钥、密码、令牌
API 响应中包含过多数据
记录敏感信息
未加密传输
不安全存储
搜索：apiKey，password，secret，token 赋值

安全配置错误：

缺少安全头（CSP，HSTS，X-Frame-Options）
CORS 配置错误
暴露内部信息的详细错误消息
默认凭证
生产环境中的调试模式
搜索：服务器配置、错误处理程序、CORS 设置

依赖项漏洞：

运行 npm audit 或等效命令
检查具有 CVE 的过时包
不必要的依赖项，供应链风险

并行扫描（全面审计）

何时使用： 整个应用程序、多个 OWASP 类别、>1000 行代码、多个攻击面

代理 1：注入（OWASP A03） SQL，XSS，命令，NoSQL，LDAP 注入漏洞

代理 2：身份验证/授权（OWASP A01，A07） 缺少身份验证、弱密码、会话失效、访问控制失效、权限提升

代理 3：数据暴露（OWASP A02） 硬编码密钥、过多的 API 响应、记录敏感数据、未加密传输、不安全存储

代理 4：配置（OWASP A05） 缺少安全头、CORS 配置错误、详细错误、默认凭证、不必要的服务

代理 5：依赖项（OWASP A06） 易受攻击的包、过时版本、供应链风险

发现文档格式

对于每个漏洞：

### [SEVERITY] 问题名称
**CVSS 评分：** X.X | **类别：** OWASP A##:YEAR | **位置：** `src/path/file.js:123`

**易受攻击的代码：**
[代码片段]

**利用场景：**
[如何利用此漏洞的具体示例]

**影响：**
[攻击者可以实现的目标：数据访问、身份验证绕过、系统入侵等]

**修复：**
[安全的替代代码]

**参考：**
- OWASP：[链接]
- CWE-##：[链接]

严重程度映射：

🔴 严重（CVSS 9.0-10.0）：立即修复，身份验证绕过，完全数据库访问，远程代码执行
🔴 高（CVSS 7.0-8.9）：几天内修复，数据窃取，显著的权限提升
🟡 中（CVSS 4.0-6.9）：几周内修复，部分数据访问，有限的身份验证绕过
🟢 低（CVSS 0.1-3.9）：几个月内修复，信息披露，次要配置问题

安全审计报告

生成包含以下内容的全面报告：

# 安全审计报告：[系统名称]

## 执行摘要
**整体安全状况：** [CRITICAL / POOR / FAIR / GOOD / EXCELLENT]

**漏洞摘要：**
- 严重：[X]（CVSS 9.0-10.0）
- 高：[Y]（CVSS 7.0-8.9）
- 中：[Z]（CVSS 4.0-6.9）
- 低：[N]（CVSS 0.1-3.9）

**需要立即采取的行动：**
1. [最严重的问题]
2. [第二优先级]

## OWASP Top 10 评估
| 类别 | 状态 | 发现 | 优先级 |
|----------|--------|----------|----------|
| A01：失效的访问控制 | ✅/⚠️/❌ | [数量] | - |
| A02：加密机制失效 | ✅/⚠️/❌ | [数量] | - |
| A03：注入 | ✅/⚠️/❌ | [数量] | - |
| [继续所有 10 项] | | | |

## 按严重程度分类的发现
[严重漏洞]
[高漏洞]
[中漏洞]
[低漏洞]

## 修复计划
### 立即（24 小时内）
[严重和高严重性修复]

### 短期（1 周内）
[中等严重性修复]

### 中期（1 个月内）
[低严重性修复，加固]

## 验证清单
- [ ] 在修复的代码上重新运行安全扫描
- [ ] 验证每个漏洞已关闭
- [ ] 对依赖项运行 `npm audit`
- [ ] 测试修复不会破坏功能
- [ ] 添加安全回归测试

安全检查参考

注入：

SQL 查询使用参数化（预编译语句，ORM）
HTML 输出经过清理（DOMPurify，转义）
没有动态命令执行（使用用户输入的 exec，spawn）
没有 eval() 或类似的代码执行

身份验证：

密码要求足够（12+ 字符，复杂度）
所有敏感端点都有身份验证检查
会话管理安全（httpOnly，secure cookies）
身份验证端点有速率限制（最多 5 次尝试/分钟）
凭证使用 bcrypt/argon2 哈希，非明文

数据暴露：

没有硬编码的密钥（使用环境变量）
API 响应不泄露不必要的数据
敏感数据不在日志中
到处强制执行 HTTPS/TLS
敏感数据静态加密（AES-256）

配置：

存在安全头（CSP，HSTS，X-Frame-Options，X-Content-Type-Options）
CORS 配置正确（非 *，验证来源）
错误消息不暴露内部信息
没有默认凭证
生产环境中禁用调试模式

依赖项：

没有已知漏洞（运行 npm audit）
包是最新的
没有不必要的依赖项

修复工作流程

修复每个漏洞 遵循文档化的代码示例
立即验证 - 重新运行安全扫描，测试功能
记录解决方案 - 标记发现为已修复，并注明验证方法
运行依赖项审计 - npm audit，更新包
测试回归 - 确保修复不会破坏功能
更新文档 - 记录已实施的安全措施

示例

示例 1：SQL 注入发现

### [CRITICAL] 用户登录中的 SQL 注入
**CVSS 评分：** 9.8 | **类别：** OWASP A03:2021 | **位置：** `src/auth/login.js:45`

**易受攻击的代码：**
const query = `SELECT * FROM users WHERE email = '${email}'`;
const user = await db.query(query);

**利用场景：**
攻击者发送：email = "admin' OR '1'='1"
→ 返回所有用户，绕过身份验证，获得管理员访问权限

**影响：**
- 完全的身份验证绕过
- 完全数据库访问
- 数据窃取和操纵

**修复：**
const query = 'SELECT * FROM users WHERE email = ?';
const user = await db.query(query, [email]);

示例 2：硬编码密钥发现

### [CRITICAL] 硬编码的 API 密钥
**CVSS 评分：** 9.6 | **类别：** OWASP A02:2021 | **位置：** `src/config.js:12`

**易受攻击的代码：**
const apiKey = "sk-1234567890abcdef";

**影响：**
- 未经授权的 API 访问
- 计费责任
- 以受害者账户访问数据

**修复：**
const apiKey = process.env.API_KEY;
// 存储在 .env 中：API_KEY=sk-1234567890abcdef

每周安装次数

–

来源

smithery.ai/ski…security

首次出现

–

🇺🇸English

Auditing Security

Overview

Comprehensive security analysis to identify vulnerabilities, assess risk, and provide remediation guidance aligned with industry standards (OWASP Top 10, CVSS scoring).

Inputs:

Codebase to audit
docs/system-design.md - Architecture context
docs/api-contracts.yaml - API specifications
docs/feature-spec/F-##-*.md - Feature implementations

Outputs:

Security findings organized by severity (CRITICAL, HIGH, MEDIUM, LOW)
CVSS scores and OWASP Top 10 mapping
Exploit scenarios and remediation code
Risk-prioritized remediation plan

Quick Start

Ask for security audit with context:

What to audit? Feature, component, or full application
Concerns? Injection, auth bypass, data leaks, access control, API security
Sensitive data? PII, credentials, financial data, health info, business secrets

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

Security Review Strategy

Sequential Review (Targeted audits)

When to use: Small codebase, single vulnerability investigation, specific attack vector, <5 files

Review vulnerabilities one area at a time using direct tools:

Injection Vulnerabilities:

SQL injection: String concatenation in queries (db.query("SELECT * FROM users WHERE id = '" + id + "'"))
XSS: dangerouslySetInnerHTML, unsanitized HTML (.innerHTML = userInput)
Command injection: Shell command construction (exec('rm ' + filename))
NoSQL injection, LDAP injection
Search for: db.query(, eval(, exec(, .innerHTML

Authentication/Authorization:

Endpoints without auth checks
Weak password requirements
Missing rate limiting on auth endpoints
Session management issues
Broken access control, privilege escalation
Search for: route handlers, auth middleware, permission checks

Sensitive Data Exposure:

Hardcoded secrets: API keys, passwords, tokens
Excessive data in API responses
Logging sensitive information
Unencrypted transmission
Insecure storage
Search for: apiKey, password, secret, token assignments

Security Misconfiguration:

Missing security headers (CSP, HSTS, X-Frame-Options)
CORS misconfiguration
Verbose error messages exposing internals
Default credentials
Debug mode in production
Search for: server config, error handlers, CORS setup

Dependency Vulnerabilities:

Run npm audit or equivalent
Check for outdated packages with CVEs
Unnecessary dependencies, supply chain risks

Parallel Scanning (Comprehensive audits)

When to use: Entire application, multiple OWASP categories, >1000 lines, multiple attack surfaces

Agent 1: Injection (OWASP A03) SQL, XSS, command, NoSQL, LDAP injection vulnerabilities

Agent 2: Authentication/Authorization (OWASP A01, A07) Missing auth, weak passwords, broken sessions, access control failures, privilege escalation

Agent 3: Data Exposure (OWASP A02) Hardcoded secrets, excessive API responses, logging sensitive data, unencrypted transmission, insecure storage

Agent 4: Configuration (OWASP A05) Missing security headers, CORS misconfiguration, verbose errors, default credentials, unnecessary services

Agent 5: Dependencies (OWASP A06) Vulnerable packages, outdated versions, supply chain risks

Finding Documentation Format

For each vulnerability:

### [SEVERITY] Issue Name
**CVSS Score:** X.X | **Category:** OWASP A##:YEAR | **Location:** `src/path/file.js:123`

**Vulnerable Code:**
[Code snippet]

**Exploit Scenario:**
[Concrete example of how to abuse this]

**Impact:**
[What attacker can achieve: data access, auth bypass, system compromise, etc.]

**Fix:**
[Secure replacement code]

**References:**
- OWASP: [link]
- CWE-##: [link]

Severity Mapping:

🔴 CRITICAL (CVSS 9.0-10.0): Fix immediately, authentication bypass, full database access, RCE
🔴 HIGH (CVSS 7.0-8.9): Fix within days, data exfiltration, significant privilege escalation
🟡 MEDIUM (CVSS 4.0-6.9): Fix within weeks, partial data access, limited auth bypass
🟢 LOW (CVSS 0.1-3.9): Fix within months, information disclosure, minor config issues

Security Audit Report

Generate comprehensive report with:

# Security Audit Report: [System Name]

## Executive Summary
**Overall Security Posture:** [CRITICAL / POOR / FAIR / GOOD / EXCELLENT]

**Vulnerability Summary:**
- CRITICAL: [X] (CVSS 9.0-10.0)
- HIGH: [Y] (CVSS 7.0-8.9)
- MEDIUM: [Z] (CVSS 4.0-6.9)
- LOW: [N] (CVSS 0.1-3.9)

**Immediate Actions Required:**
1. [Most critical issue]
2. [Second priority]

## OWASP Top 10 Assessment
| Category | Status | Findings | Priority |
|----------|--------|----------|----------|
| A01: Broken Access Control | ✅/⚠️/❌ | [count] | - |
| A02: Cryptographic Failures | ✅/⚠️/❌ | [count] | - |
| A03: Injection | ✅/⚠️/❌ | [count] | - |
| [Continue for all 10] | | | |

## Findings by Severity
[CRITICAL vulnerabilities]
[HIGH vulnerabilities]
[MEDIUM vulnerabilities]
[LOW vulnerabilities]

## Remediation Plan
### Immediate (24 hours)
[Critical and high-severity fixes]

### Short-term (1 week)
[Medium-severity fixes]

### Medium-term (1 month)
[Low-severity fixes, hardening]

## Verification Checklist
- [ ] Re-run security scans on fixed code
- [ ] Verify each vulnerability is closed
- [ ] Run `npm audit` on dependencies
- [ ] Test fixes don't break functionality
- [ ] Add security regression tests

Security Check Reference

SQL queries use parameterization (prepared statements, ORM)
HTML output is sanitized (DOMPurify, escaped)
No dynamic command execution (exec, spawn with user input)
No eval() or similar code execution

Password requirements adequate (12+ chars, complexity)
All sensitive endpoints have auth checks
Session management secure (httpOnly, secure cookies)
Rate limiting on auth endpoints (5 attempts/min max)
Credentials hashed with bcrypt/argon2, not plaintext

No hardcoded secrets (use environment variables)
API responses don't leak unnecessary data
Sensitive data not in logs
HTTPS/TLS enforced everywhere
Sensitive data encrypted at rest (AES-256)

Security headers present (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
CORS properly configured (not *, validate origins)
Error messages don't expose internals
No default credentials
Debug mode disabled in production

No known vulnerabilities (run npm audit)
Packages up to date
No unnecessary dependencies

Remediation Workflow

Fix each vulnerability following documented code examples
Verify immediately - re-run security scans, test functionality
Document resolution - mark findings as fixed with verification method
Run dependency audit - npm audit, update packages
Test regression - ensure fixes don't break features
Update docs - document security measures implemented

Example 1: SQL Injection Finding

### [CRITICAL] SQL Injection in User Login
**CVSS Score:** 9.8 | **Category:** OWASP A03:2021 | **Location:** `src/auth/login.js:45`

**Vulnerable Code:**
const query = `SELECT * FROM users WHERE email = '${email}'`;
const user = await db.query(query);

**Exploit Scenario:**
Attacker sends: email = "admin' OR '1'='1"
→ Returns all users, bypasses authentication, gains admin access

**Impact:**
- Complete authentication bypass
- Full database access
- Data exfiltration and manipulation

**Fix:**
const query = 'SELECT * FROM users WHERE email = ?';
const user = await db.query(query, [email]);

Example 2: Hardcoded Secrets Finding

### [CRITICAL] Hardcoded API Key
**CVSS Score:** 9.6 | **Category:** OWASP A02:2021 | **Location:** `src/config.js:12`

**Vulnerable Code:**
const apiKey = "sk-1234567890abcdef";

**Impact:**
- Unauthorized API access
- Billing liability
- Data access under victim's account

**Fix:**
const apiKey = process.env.API_KEY;
// Store in .env: API_KEY=sk-1234567890abcdef

GitHub Actions 官方文档查询助手 - 精准解答 CI/CD 工作流问题

30,000 周安装