$ loading_
帮助开发者在认证、输入处理、密钥和敏感功能开发中进行系统安全审查
复制安装指令,让 AI 自动完成配置 · 推荐新手
请帮我安装 askskill 上的 "security-review" 技能: 1. 下载 https://raw.githubusercontent.com/affaan-m/ECC/main/skills/security-review/SKILL.md 2. 保存为 ~/.claude/skills/security-review/SKILL.md 3. 装好后重载技能,告诉我可以用了
请对我即将上线的登录与注册功能做一次安全审查,重点检查认证流程、密码存储、会话管理、暴力破解防护、邮箱验证码、找回密码流程,并给出修复建议清单。
一份针对登录注册流程的安全风险清单、常见漏洞说明和按优先级排序的修复建议。
我正在开发一个接收用户表单并写入数据库的 API,请从输入校验、注入风险、权限控制、错误信息暴露、速率限制和日志脱敏几个方面做安全审查,并给出推荐实现模式。
一份面向 API 与输入处理的安全检查结果,包含风险点、最佳实践和可落地的防护模式。
请帮我审查支付功能的安全设计,重点关注密钥管理、金额篡改、回调验签、重放攻击、权限隔离、审计日志和异常交易处理,并输出发布前安全检查清单。
一份适用于支付或敏感业务的发布前安全评估结果和分项检查清单。
This skill ensures all code follows security best practices and identifies potential vulnerabilities.
const apiKey = "sk-proj-xxxxx" // Hardcoded secret
const dbPassword = "password123" // In source code
const apiKey = process.env.OPENAI_API_KEY
const dbUrl = process.env.DATABASE_URL
// Verify secrets exist
if (!apiKey) {
throw new Error('OPENAI_API_KEY not configured')
}
.env.local in .gitignoreimport { z } from 'zod'
// Define validation schema
const CreateUserSchema = z.object({
email: z.string().email(),
name: z.string().min(1).max(100),
age: z.number().int().min(0).max(150)
})
// Validate before processing
export async function createUser(input: unknown) {
try {
const validated = CreateUserSchema.parse(input)
return await db.users.create(validated)
} catch (error) {
if (error instanceof z.ZodError) {
return { success: false, errors: error.errors }
}
throw error
}
}
function validateFileUpload(file: File) {
// Size check (5MB max)
const maxSize = 5 * 1024 * 1024
if (file.size > maxSize) {
throw new Error('File too large (max 5MB)')
}
// Type check
const allowedTypes = ['image/jpeg', 'image/png', 'image/gif']
if (!allowedTypes.includes(file.type)) {
throw new Error('Invalid file type')
}
// Extension check
const allowedExtensions = ['.jpg', '.jpeg', '.png', '.gif']
const extension = file.name.toLowerCase().match(/\.[^.]+$/)?.[0]
if (!extension || !allowedExtensions.includes(extension)) {
throw new Error('Invalid file extension')
}
return true
}
// DANGEROUS - SQL Injection vulnerability
const query = `SELECT * FROM users WHERE email = '${userEmail}'`
await db.query(query)
// Safe - parameterized query
const { data } = await supabase
.from('users')
.select('*')
.eq('email', userEmail)
// Or with raw SQL
await db.query(
'SELECT * FROM users WHERE email = $1',
[userEmail]
)
// FAIL: WRONG: localStorage (vulnerable to XSS)
localStorage.setItem('token', token)
// PASS: CORRECT: httpOnly cookies
res.setHeader('Set-Cookie',
`token=${token}; HttpOnly; Secure; SameSite=Strict; Max-Age=3600`)
export async function deleteUser(userId: string, requesterId: string) {
// ALWAYS verify authorization first
const requester = await db.users.findUnique({
where: { id: requesterId }
})
if (requester.role !== 'admin') {
return NextResponse.json(
{ error: 'Unauthorized' },
{ status: 403 }
)
}
// Proceed with deletion
…
帮助开发者为代码代理配置性能优化、安全防护与研究优先工作流。
提供数据库迁移、回滚与零停机发布的最佳实践指导,适用于多种 ORM 与 SQL 数据库。
通过双评审智能体对结果进行对抗式校验,提升输出发布前的可靠性
帮助你掌握地道 Rust 模式、所有权与并发实践,编写安全高性能应用。
基于 C++ Core Guidelines 编写、审查并重构更安全现代的 C++ 代码。
为 Claude Code 会话提供系统化校验流程,帮助检查结果正确性与质量。
用于认证、输入处理、密钥与敏感功能开发时的安全审查与检查清单。
为认证、输入处理、密钥管理与敏感接口开发提供安全审查清单和最佳实践。
为认证、输入处理、密钥管理与敏感接口开发提供系统化安全审查清单。
从正确性、测试、安全与性能等维度进行深入代码审查并给出改进建议
针对 Python、JS/TS 与 Go 提供安全最佳实践审查与改进建议
对 Power Pages 站点执行端到端安全审查,并汇总生成完整 HTML 报告。