pentest-authentication-authorization-review
安全评估技能,用于身份验证和授权控制。当提示包括会话处理、令牌滥用、MFA弱点、账户接管、IDOR/BOLA/BFLA、权限提升、租户隔离或身份边界验证时使用。当任务仅为通用侦察、纯粹的解析器模糊测试或仅最终报告编写时,请勿使用。
把 Skill 的源码、资源快照、README、包体和安装信号放进一个可搜索、可筛选的公开目录。
安全评估技能,用于身份验证和授权控制。当提示包括会话处理、令牌滥用、MFA弱点、账户接管、IDOR/BOLA/BFLA、权限提升、租户隔离或身份边界验证时使用。当任务仅为通用侦察、纯粹的解析器模糊测试或仅最终报告编写时,请勿使用。
Go并发模式,包括goroutine生命周期管理、通道使用、互斥锁处理和同步原语。在编写并发Go代码、生成goroutine、使用通道或记录线程安全保证时使用。基于Google和Uber Go风格指南。
来自Google和Uber风格指南的Go语言包、函数、方法、变量、常量和接收者的命名约定。在为Go代码中的任何标识符(包括类型、函数、方法、变量、常量或包)选择名称时使用,以确保清晰性、一致性和惯用风格。
用于组织项目时 - 检测杂乱、强制执行命名约定、构建目录结构、管理.gitignore文件,或评估项目的可扩展性。在项目组织请求、文件命名审核或.gitignore维护需求时触发。
进行全面的需求审查,包括完整性验证、清晰度评估、一致性检查、可测试性评估和标准合规性。生成详细的审查报告,包括发现的问题、差距、冲突和改进建议。在审查需求文档(如BRD、SRS、用户故事)、验证验收标准、评估需求质量、识别差距和冲突或确保符合标准(如IEEE 830、INVEST标准)时使用。当用户提到“审查需求”、“验证需求”、“检查需求质量”、“查找需求问题”或“评估BRD/SRS质量”时触发…
使用repomix安全打包代码库,通过自动检测并在打包前移除硬编码的凭据。在为分发打包代码、创建参考包或用户提到关于使用repomix共享代码的安全顾虑时使用。
-
在需要修复Java代码中的CWE-191(整数下溢)漏洞时使用此技能。触发于静态应用安全测试发现、安全审查或修复整数下溢问题时。
Go中的防御性编程模式,包括接口验证、在边界处复制切片/映射、时间处理、避免使用全局变量以及使用defer进行清理。在编写健壮的生产级Go代码时使用这些模式。
Go context.Context的使用模式,包括参数放置、避免结构体嵌入以及正确的传播。在Go代码中处理取消操作、截止时间和请求范围值时使用。
来自Google和Uber风格指南的核心Go语言风格原则和格式规范。在编写任何Go代码时使用,以确保清晰、简洁和一致性。这是基础技能——其他Go语言风格技能都是基于这些原则构建的。
数值算法和统计计算技术
执行浏览器工作流程,同时监控JavaScript控制台中的错误、警告和消息。当您需要无错误验证、自动化过程中的调试上下文或Web应用程序中的主动错误检测时使用。在“检查控制台错误”、“监控JavaScript错误”、“验证无错误执行”或“调试浏览器工作流”时触发。与Playwright MCP浏览器自动化工具一起工作。
构建和修改dbt模型,使用ref()和source()编写SQL转换,创建测试,并使用dbt show验证结果。在进行任何dbt工作时使用 - 构建或修改模型、调试错误、探索不熟悉的数据库、编写测试或评估变更的影响。
请提供需要翻译的描述内容。
当需要修复Java代码中的CWE-209(通过错误消息暴露信息)漏洞时使用此技能。在静态应用程序安全测试发现、安全审查或修正通过错误消息暴露信息的问题时触发。
推荐的Go语言代码检查工具和golangci-lint配置。在为Go项目设置代码检查或配置CI/CD时使用。
来自Google和Uber风格指南的全面Go错误处理模式。涵盖了返回错误、使用%w进行包装、哨兵错误、选择错误类型、一次性错误处理、错误流程结构以及日志记录。在编写创建、返回、包装或处理错误的Go代码时使用。
在构建joi模式、验证输入数据、定义自定义类型、使用.when()进行条件验证、跨字段引用、自定义错误消息或编写joi扩展时使用。这是一个独立的包,与@hapi生态系统集成。
在统计研究中构建和验证数学证明的结构化方法
创建可重用测试数据的模式:领域对象的工厂函数、复杂对象的构建器模式、固定装置工厂、参数化测试数据、测试数据继承以及类型安全的测试数据生成器。在需要重复创建测试数据、构建具有许多可选字段的对象或生成现实的测试数据集时使用。使用场景包括:编写需要领域对象的测试、为多个测试创建固定装置、生成带有默认值的测试数据、构建具有可选字段的复杂对象,或者使用各种数据对测试进行参数化。
TypeScript和Angular应用程序的全面命名约定指南。涵盖了大小写规则(camelCase、PascalCase、UPPER_CASE)、前缀约定(接口用I、私有成员用_、泛型用T)、布尔值命名、S-I-D原则(短小、直观、描述性)、上下文重复以及结构化命名模式(变量用P/HC/LC、函数用A/HC/LC)。在编写、审查或重构TypeScript代码时使用。适用于涉及命名、变量、函数、接…
当需要修复Java代码中的CWE-1333(正则表达式拒绝服务攻击,ReDoS)漏洞时使用此技能。在静态应用安全测试发现、安全审查或修复正则表达式拒绝服务问题时触发。
在需要修复Java代码中的CWE-200(信息泄露)漏洞时使用此技能。触发于静态应用程序安全测试发现、安全审查或修复信息泄露问题时。