菜单
当用户要求审计 Java 源码、字节码或 pipeline 证据中的任意文件读取、路径遍历、文件下载、FileInputStream/Files/Resource/InputStream 文件读取 sink,或需要判断外部参数是否能控制读取路径时使用;只做路由枚举、调用链追踪、文件上传、SQL、XXE、反序列化、鉴权或组件 CVE 扫描时不要使用。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
基于 SOC 职业分类
用于 Java 反序列化漏洞深度审计。用户要求分析 DESERIALIZE sink、ObjectInputStream/readObject、XMLDecoder、Fastjson、XStream、JDBC 反序列化、Shiro RememberMe、Log4j/JNDI 或 gadget 链可利用性时触发;纯组件 CVE 查询、XXE 或 SQL 注入审计不触发。
当用户要求从源码、WAR/class/JAR 产物中提取、枚举、映射或记录 Java Web 路由、端点和请求参数,尤其是为后续鉴权、调用链、SQL、XXE、上传、文件读取或完整流水线审计提供输入时使用;仅做漏洞判定、调用链追踪、鉴权判断、依赖 CVE 扫描,或不需要路由提取的通用 API 文档润色时不要使用。
当用户要求用 Claude team/多 agent 编排 Java Web 全链路安全审计、调度 route-mapper/auth/vuln-scanner/route-tracer/SQL/XXE/上传/文件读取/反序列化 worker,并由独立质检员 agent 做阶段门禁和最终 quality_report 时使用;只要求单一 skill、单条调用链、依赖扫描或普通报告润色时不要使用。
当用户要求审计 Java Web 认证、授权、路由鉴权覆盖、Filter/Interceptor/Shiro/Spring Security/JWT/Session 规则、鉴权绕过、权限提升、IDOR 或水平/垂直越权时使用;只做路由提取、依赖 CVE、SQL/XXE/上传/文件读取/反序列化、Cookie 加固或通用安全基线时不要使用。
当用户要求从已知 Java Web 路由、入口方法或 pipeline 批次追踪参数调用链到 SQL/FILE/XML/COMMAND/HTTP/LDAP/EXPRESSION/DESERIALIZE/RESPONSE 等 sink,并输出可控性、分支条件和证据时使用;只提取路由、判断具体漏洞、鉴权审计或依赖组件风险扫描时不要使用。
当用户要求审计 Java 源码中的 SQL 注入、动态 SQL 拼接、JDBC/MyBatis/Hibernate/JPA 查询参数化缺陷,或 pipeline 已有路由/调用链证据需要判定 SQL sink 是否可被用户输入影响时使用;只做路由梳理、调用链追踪、鉴权、XXE、文件、反序列化或组件 CVE 扫描时不要使用。
| name | java-file-read-audit |
| description | 当用户要求审计 Java 源码、字节码或 pipeline 证据中的任意文件读取、路径遍历、文件下载、FileInputStream/Files/Resource/InputStream 文件读取 sink,或需要判断外部参数是否能控制读取路径时使用;只做路由枚举、调用链追踪、文件上传、SQL、XXE、反序列化、鉴权或组件 CVE 扫描时不要使用。 |
java-file-read-audit 是 Java 审计技能集中的任意文件读取和路径遍历专项判定层。它消费源码、反编译结果、java-route-mapper 路由清单或 java-route-tracer 调用链证据,判断:
本 skill 不负责全量路由枚举,不替代调用链追踪,不判断文件上传写入漏洞,不扫描依赖 CVE,不输出未验证的系统文件读取成功结论。
上游输入可以是:
java-route-mapper 产出的路由、参数和入口方法清单。java-route-tracer 产出的调用链、可控性、分支条件和 FILE sink 候选。.class、.jar、.war 或已有反编译结果。下游通常读取:
相邻 skill 边界:
java-route-mapper:枚举路由和入口参数;本 skill 只消费其结果。java-route-tracer:追踪参数到 FILE sink;本 skill 只在需要数据流证据时读取或请求调用链追踪。java-file-upload-audit:处理上传、任意文件写入、上传路径穿越;本 skill 只处理读取。java-xxe-audit:处理 XML 解析读本地文件;本 skill 只在 XML 外部实体以外的普通文件读取 sink 中判定。java-auth-audit:判断鉴权和越权;本 skill 只引用鉴权上下文,不扩写成鉴权漏洞。java-vuln-scanner:扫描依赖组件 CVE;本 skill 不编造 CVE、CVSS 或修复版本。满足任一条件时触发:
FileInputStream、FileReader、Files.read*、ResourceUtils、ClassPathResource、ServletContext#getResourceAsStream、response.getOutputStream 下载链路等 FILE sink。java-route-tracer 已报告 FILE sink 证据,需要做安全结论和可复核交付。以下情况不要触发本 skill:
合格输出必须同时满足:
fileName 命中写成已确认漏洞。references/OUTPUT_TEMPLATE.md 的 6 个编号章节,不添加输出自检、技能源校验、测试提示词或模型验收信息。FILE_READ_METHODS.md;路径遍历读 PATH_TRAVERSAL.md;源码缺失读 DECOMPILE_STRATEGY.md;验证材料读 VALIDATION_MATERIALS.md;生成报告读 OUTPUT_TEMPLATE.md。java-route-tracer;没有入口或调用链证据时只能输出待验证/不可确认。VALIDATION_MATERIALS.md 输出 Burp Suite 请求和 payload;其他状态只写补证路径。tools/skill-maintenance/validators/validate_file_read_output.py <输出目录> 做硬边界检查,再人工检查证据链。java-route-tracer 的 UNCONFIRMED、Service/Util 方法名、download 命名只表示待查,不是 FILE sink。new File(base, fileName) 不天然危险;必须看 fileName 可控性和 canonical/normalize 后是否限制在 base 内。../、只判断 contains("..") 不是充分防护;需要检查编码、双重编码、反斜杠和绝对路径。## 输出自检、技能源校验、测试提示词、Claude 运行状态、验收清单、内部工具错误、具体工具不可用信息或固定占位时间。ServletOutputStream、addHeader、setContentType 或下载命名,不得作为 FILE sink 映射行;必须同时能指向文件/资源 InputStream 来源,否则放在第 4 节非 sink 候选或不写入主报告。file、path、url 不等于可控文件读取;必须追到读取 sink。classpath: 固定资源通常不是任意文件读取。getCanonicalPath() 后必须和规范化后的 base 比较;只对原始字符串比较容易绕过。startsWith(basePath) 如果 basePath 未加路径边界,/var/upload2 可能绕过 /var/upload。URLDecoder.decode 的次数会影响 payload;不要在未确认解码链时写确认漏洞。.class 常量、字段、方法签名、JSP 拼接或配置映射,未取得关键方法体时:停止在待验证/不可确认,不生成 Burp 请求和 payload。java-route-tracer,完成证据后再回来判定。java-auth-audit,本 skill 只引用其结果。java-file-upload-audit。java-vuln-scanner。| 类型 | 用户请求或场景 | 预期行为 |
|---|---|---|
| 正例 | “审计这个项目有没有任意文件读取。” | 触发,定位入口到 FILE sink 并判定 |
| 正例 | “这个 download 接口的 fileName 会不会路径遍历?” | 触发,分析参数、路径拼接和校验 |
| 正例 | “route-tracer 说参数到达 FileInputStream,判断是否成立。” | 触发,读取 tracer 证据和文件读取规则 |
| 反例 | “提取所有 Controller 路由。” | 不触发,使用 java-route-mapper |
| 反例 | “上传接口能不能写 JSP?” | 不触发,使用 java-file-upload-audit |
| 反例 | “XXE 能不能读 /etc/passwd?” | 不触发,使用 java-xxe-audit |
| 边界例 | 下载参数是 fileId,服务端从数据库查固定路径 | 通常非漏洞或待验证,不能直接按路径遍历处理 |
| 边界例 | new File(base, fileName) 后有 canonical 校验 | 若校验完整,判非漏洞 |
| 边界例 | 只有 .class 类名疑似下载接口,未反编译 | 不确认,写不可确认/待验证 |
| 失败案例 | 把所有 fileName 参数都写成确认漏洞 | 不合格,缺 sink 和数据流 |
| 失败案例 | 待验证项输出 Burp 请求 | 不合格,候选被包装成漏洞 |
| 失败案例 | 输出 CVSS、CVE、修复版本、输出自检、工具不可用过程或 000000 占位时间 | 不合格,违反边界 |