Run any Skill in Manus with one click

security-audit

安全专项审查 Skill。基于 OWASP Top 10 (2021) 提供系统化的安全审查清单，覆盖注入攻击、认证失败、敏感数据泄露、XXE、访问控制、安全配置、XSS、反序列化、依赖漏洞、日志监控不足等。触发条件：(1) 安全审查/安全审计/security audit，(2) OWASP 合规检查，(3) 漏洞扫描/CVE 检查，(4) 安全加固建议，(5) 依赖安全检查/npm audit/pip-audit。注意：常规代码审查请使用 code-review Skill，本 Skill 专注于安全维度的深度检查。

Run Skill in Manus

Overview

Install command

npx skills add https://github.com/nickhou1983/e-learning --skill security-audit

Copy and paste this command into Claude Code to install the skill

Source

nickhou1983/e-learning

Stars1

Forks2

UpdatedMarch 25, 2026 at 01:57

File Explorer

2 files

SKILL.md

readonly

name

security-audit

description

安全专项审查 Skill

基于 OWASP Top 10 (2021) 的系统化安全审查流程，输出结构化安全报告。

参考文件

文件	用途
owasp-checklist.md	OWASP Top 10 完整审查清单

审查流程

步骤 1：确定审查范围

识别技术栈 — 语言、框架、数据库、部署环境
标记敏感区域 — 认证/鉴权、支付、用户数据处理、文件上传、API 端点
确认审查深度 — 快速扫描（仅 CRITICAL）还是全面审计（CRITICAL + HIGH + MEDIUM）

步骤 2：按 OWASP Top 10 逐项检查

加载 owasp-checklist.md，按照以下10个类别逐一检查代码：

#	OWASP 类别	严重度基线
A01	Broken Access Control（访问控制失效）	CRITICAL
A02	Cryptographic Failures（加密失败）	CRITICAL
A03	Injection（注入攻击）	CRITICAL
A04	Insecure Design（不安全设计）	HIGH
A05	Security Misconfiguration（安全配置错误）	HIGH
A06	Vulnerable Components（易受攻击的组件）	HIGH
A07	Authentication Failures（身份认证失败）	CRITICAL
A08	Data Integrity Failures（数据完整性失败）	HIGH
A09	Logging & Monitoring Failures（日志和监控失败）	MEDIUM
A10	SSRF（服务端请求伪造）	HIGH

步骤 3：依赖安全检查

检查 package.json / requirements.txt / go.mod 中的依赖版本
识别已知有 CVE 的依赖包
建议运行：
- Node.js: npm audit / npx audit-ci
- Python: pip-audit / safety check
- Go: govulncheck

步骤 4：输出安全报告

## Security Audit Report

**审查范围**: <files/modules>
**技术栈**: <language/framework>
**审查深度**: Quick Scan | Full Audit

### 🔴 CRITICAL（必须立即修复）
- **[A0X][file:line]** 问题描述 → 修复建议

### 🟠 HIGH（应尽快修复）
- **[A0X][file:line]** 问题描述 → 修复建议

### 🟡 MEDIUM（建议修复）
- **[A0X][file:line]** 问题描述 → 修复建议

### 依赖安全
- 已知 CVE 的依赖列表
- 建议升级的包和目标版本

### 安全加固建议
- 推荐的安全 Headers
- 推荐的安全配置
- 缺少的安全基础设施

### Summary
- 发现 X 个 CRITICAL / Y 个 HIGH / Z 个 MEDIUM
- 总体安全评估：一句话

More from this repository

same repository

code-review

nickhou1983/e-learning

代码审查（Code Review）专用 Skill。提供系统化的审查流程、三级严重度清单（🔴MUST/🟡SHOULD/🟢NIT）、按语言的审查要点、标准化评论模板。适用于：(1) 审查 PR 或代码变更，(2) 评估代码质量和设计合理性，(3) 识别性能问题和重构机会，(4) 提供结构化的审查意见并提交到 GitHub PR。注意：深度安全漏洞扫描请使用 security-audit Skill，编码规范查询请使用 coding-standards Skill。

2026-03-251

coding-standards

nickhou1983/e-learning

全栈编码规范参考。涵盖命名、结构、错误处理、Git 规范等通用规范，以及 TypeScript/React/Next.js/Vue 前端规范和 Node.js/Python/Go 后端规范。支持通过飞书 MCP 从飞书文档同步更新编码规范。触发条件：(1) 查询编码规范或命名约定，(2) 编写代码时需要遵循团队规范，(3) 新项目初始化需要确定编码标准，(4) 需要同步/更新来自飞书的团队编码规范，(5) 讨论代码风格、格式化、命名最佳实践时。注意：代码审查请使用 code-review Skill，安全检查请使用 security-audit Skill。

2026-03-251

feishu-docs

nickhou1983/e-learning

通过飞书 MCP 查询和操作飞书文档、知识库、电子表格、多维表格、消息。包含配置引导和完整的工具参考。触发条件：(1) 查询/读取飞书文档内容，(2) 搜索飞书文档或知识库，(3) 创建/编辑飞书文档，(4) 操作飞书电子表格或多维表格数据，(5) 发送飞书消息，(6) 配置飞书 MCP Server，(7) 提到飞书、Feishu、Lark 相关操作。

2026-03-251

github-publish

nickhou1983/e-learning

将代码发布到 GitHub 平台的完整工作流。包含代码 Commit、创建分支、推送代码、生成 Pull Request、指定代码审查者、管理审查流程。通过 GitHub MCP Server 与 GitHub 平台交互。触发条件：(1) 提交代码到 GitHub，(2) 创建 Pull Request，(3) 需要指定 PR 审查者，(4) 发布/上线代码，(5) 合并代码到主分支，(6) 代码提交和 PR 流程相关操作。

2026-03-251

microservices

nickhou1983/e-learning

微服务开发与部署技能。涵盖微服务架构设计、服务拆分、通信模式、数据管理、服务治理、可观测性，以及容器化、Kubernetes部署、CI/CD流水线、部署策略、配置管理和安全规范。触发条件：(1) 设计或开发微服务架构，(2) 服务拆分和通信模式选择，(3) 容器化和K8s部署，(4) CI/CD流水线设计，(5) 微服务治理与可观测性方案。

2026-03-251

playwright-testing

nickhou1983/e-learning

使用 Playwright MCP 进行 UI/E2E 自动化测试。支持页面探索、测试用例生成、执行验证、截图对比。触发条件：(1) UI 自动化测试，(2) E2E 端到端测试，(3) 页面功能验证，(4) 浏览器测试，(5) Playwright 测试生成与执行。

2026-03-251

Source

nickhou1983

nickhou1983/e-learning

View GitHub Repository View Creator Repositories

Install command

Download

Run Skill in Manus

Useful forSOC

Information Security AnalystsComputer and Mathematical Occupations15-1212L4

name

security-audit

description

安全专项审查 Skill

基于 OWASP Top 10 (2021) 的系统化安全审查流程，输出结构化安全报告。

参考文件

文件	用途
owasp-checklist.md	OWASP Top 10 完整审查清单

审查流程

步骤 1：确定审查范围

识别技术栈 — 语言、框架、数据库、部署环境
标记敏感区域 — 认证/鉴权、支付、用户数据处理、文件上传、API 端点
确认审查深度 — 快速扫描（仅 CRITICAL）还是全面审计（CRITICAL + HIGH + MEDIUM）

步骤 2：按 OWASP Top 10 逐项检查

加载 owasp-checklist.md，按照以下10个类别逐一检查代码：

#	OWASP 类别	严重度基线
A01	Broken Access Control（访问控制失效）	CRITICAL
A02	Cryptographic Failures（加密失败）	CRITICAL
A03	Injection（注入攻击）	CRITICAL
A04	Insecure Design（不安全设计）	HIGH
A05	Security Misconfiguration（安全配置错误）	HIGH
A06	Vulnerable Components（易受攻击的组件）	HIGH
A07	Authentication Failures（身份认证失败）	CRITICAL
A08	Data Integrity Failures（数据完整性失败）	HIGH
A09	Logging & Monitoring Failures（日志和监控失败）	MEDIUM
A10	SSRF（服务端请求伪造）	HIGH

步骤 3：依赖安全检查

检查 package.json / requirements.txt / go.mod 中的依赖版本
识别已知有 CVE 的依赖包
建议运行：
- Node.js: npm audit / npx audit-ci
- Python: pip-audit / safety check
- Go: govulncheck

步骤 4：输出安全报告

## Security Audit Report

**审查范围**: <files/modules>
**技术栈**: <language/framework>
**审查深度**: Quick Scan | Full Audit

### 🔴 CRITICAL（必须立即修复）
- **[A0X][file:line]** 问题描述 → 修复建议

### 🟠 HIGH（应尽快修复）
- **[A0X][file:line]** 问题描述 → 修复建议

### 🟡 MEDIUM（建议修复）
- **[A0X][file:line]** 问题描述 → 修复建议

### 依赖安全
- 已知 CVE 的依赖列表
- 建议升级的包和目标版本

### 安全加固建议
- 推荐的安全 Headers
- 推荐的安全配置
- 缺少的安全基础设施

### Summary
- 发现 X 个 CRITICAL / Y 个 HIGH / Z 个 MEDIUM
- 总体安全评估：一句话