一键在 Manus 中运行任何 Skill

qa-security-scan

星标1

分支0

更新时间2025年12月15日 06:37

Security scanning templates and checklists for OWASP Top 10, authentication, authorization, data protection. Use when conducting security testing or vulnerability assessment. This skill provides comprehensive security testing: - OWASP Top 10 checklist with remediation - Authentication and authorization testing - Data protection verification - Security report generation - Integration with Codex CLI MCP for automated scanning Triggers: "security scan", "vulnerability check", "OWASP", "security test", "セキュリティスキャン", "脆弱性チェック", "セキュリティテスト"

安装

用 Codex 或 Claude 帮你安装复制这段 Prompt，粘贴到 Codex、Claude 或其他助手里，让它检查 Skill 页面并帮你完成安装。

在 Manus 中运行

来源

takemi-ohama

takemi-ohama/ai-agent-marketplace

打开 GitHub 仓库查看创作者相关仓库

下载

在 Manus 中运行

相关职业SOC

基于 SOC 职业分类

信息安全分析师计算机与数学类职业·SOC 15-1212

SKILL.md

readonly

同仓库更多 Skills

同仓库

corder-code-templates

takemi-ohama/ai-agent-marketplace

Generate code templates for common patterns: REST API endpoints, React components, database models, authentication, error handling. Use when implementing new features or creating boilerplate code. This skill provides production-ready code templates: - REST API endpoints (Express, FastAPI) - React/Vue components with best practices - Database models (Sequelize, TypeORM, Mongoose) - Authentication middleware (JWT, OAuth) - Error handling patterns Triggers: "create API", "new component", "implement auth", "add model", "generate code", "コードテンプレート", "API作成", "コンポーネント作成"

2025-12-151

corder-test-generation

takemi-ohama/ai-agent-marketplace

Generate unit tests, integration tests, and test fixtures for code. Supports Jest, Mocha, pytest. Use when writing tests or improving test coverage. This skill provides automated test generation: - Unit tests with AAA pattern (Arrange, Act, Assert) - Integration tests for APIs and databases - Test fixtures and mocks - Edge case identification - Test coverage recommendations Triggers: "generate tests", "create unit test", "add test coverage", "write tests", "テスト生成", "テストコード作成", "カバレッジ向上"

2025-12-151

data-analyst-export

takemi-ohama/ai-agent-marketplace

Export query results to various formats (CSV, JSON, Excel, Markdown tables) with proper formatting and headers. Use when saving analysis results to files. This skill provides data export utilities for multiple formats: - CSV: Comma-separated with headers, customizable delimiters - JSON: Structured data with pretty-print option - Excel: Multiple sheets, cell formatting, formulas - Markdown: Tables for documentation Triggers: "export data", "save results", "output CSV", "output JSON", "output Excel", "データ出力", "結果保存", "エクスポート"

2025-12-151

data-analyst-sql-optimization

takemi-ohama/ai-agent-marketplace

Apply SQL optimization patterns including index usage, query rewriting, JOIN optimization, and window functions. Use when improving query performance or analyzing slow queries. This skill provides comprehensive SQL optimization patterns and best practices: - N+1 query elimination - Index optimization strategies - JOIN vs subquery performance - Window functions for complex aggregations - Query execution plan analysis Triggers: "optimize SQL", "slow query", "improve performance", "SQL最適化", "クエリ改善", "パフォーマンス向上"

2025-12-151

researcher-report-templates

takemi-ohama/ai-agent-marketplace

Generate structured research reports with findings, comparisons, recommendations, and citations. Use when documenting investigation results or creating technical comparisons. This skill provides comprehensive research report templates: - Investigation findings with proper structure - Technology comparison tables - Best practices summaries - Citation and reference management - Executive summaries Triggers: "create report", "summarize findings", "compare technologies", "research report", "調査レポート", "技術比較", "ベストプラクティス"

2025-12-151

scanner-excel-extraction

takemi-ohama/ai-agent-marketplace

Extract, transform, and structure data from Excel files including multiple sheets, formulas, and formatting. Use when processing Excel data or converting to other formats. This skill provides Excel data extraction: - Multiple sheet reading - Data structuring (JSON/CSV conversion) - Formula evaluation - Cell formatting extraction - Large file handling with chunking Triggers: "extract Excel data", "read spreadsheet", "convert Excel to JSON", "convert Excel to CSV", "Excel解析", "スプレッドシート処理", "データ抽出"

2025-12-151

name

qa-security-scan

description

QA Security Scan Skill

概要

このSkillは、qaエージェントがセキュリティスキャンと脆弱性評価を実施する際に使用します。OWASP Top 10に基づいた包括的なチェックリストと、認証・認可・データ保護の検証手順を提供します。

主な機能

OWASP Top 10チェックリスト: 最も重大な脆弱性を体系的に確認
認証・認可テスト: ログイン、セッション管理、アクセス制御の検証
データ保護確認: 暗号化、機密情報の扱いを確認
セキュリティレポート生成: 構造化された脆弱性レポート
Codex CLI MCP統合: 自動セキュリティスキャン

使用方法

チェックリスト一覧

checklists/
├── owasp-top10-checklist.md    # OWASP Top 10
├── auth-checklist.md            # 認証・認可
└── data-protection-checklist.md # データ保護

レポートテンプレート

templates/
└── security-report-template.md  # セキュリティレポート

OWASP Top 10 チェックリスト

1. インジェクション

脆弱性の説明: 信頼できないデータがコマンドやクエリの一部として送信され、攻撃者が意図しないコマンドを実行したり、適切な認可なしにデータにアクセスしたりできる。

チェック項目:

SQLインジェクション対策

// ❌ Bad: 文字列連結
const query = `SELECT * FROM users WHERE id = ${userId}`;

// ✅ Good: パラメータ化クエリ
const query = 'SELECT * FROM users WHERE id = ?';
db.query(query, [userId]);

コマンドインジェクション対策

// ❌ Bad: ユーザー入力を直接使用
exec(`ping ${userInput}`);

// ✅ Good: ホワイトリスト検証 + エスケープ
if (!/^[a-zA-Z0-9.-]+$/.test(userInput)) {
  throw new Error('Invalid input');
}

LDAPインジェクション対策
- 特殊文字のエスケープ
- パラメータ化クエリの使用

NoSQLインジェクション対策

// ❌ Bad: オブジェクトを直接使用
User.find({ username: req.body.username });

// ✅ Good: 型検証
const username = String(req.body.username);
User.find({ username });

修正方法:

パラメータ化クエリ/プリペアドステートメント使用
ORMの使用（Sequelize、TypeORM等）
入力値の厳格な検証（ホワイトリスト）
エスケープ処理

2. 認証の不備

チェック項目:

パスワードの安全なハッシュ化

// ❌ Bad: 平文保存、MD5/SHA1
const hash = md5(password);

// ✅ Good: bcrypt/Argon2
const bcrypt = require('bcrypt');
const hash = await bcrypt.hash(password, 10);

セッション管理
- セッションIDの再生成（ログイン後）
- セキュアなCookie設定（HttpOnly, Secure, SameSite）
- セッションタイムアウトの設定
多要素認証（MFA）
- 重要な操作でMFA要求
- TOTPまたはSMS認証
ブルートフォース攻撃対策
- レート制限（rate limiting）
- アカウントロックアウト
- CAPTCHA
パスワードポリシー
- 最小8文字以上
- 大文字、小文字、数字、記号の組み合わせ
- 過去のパスワードの再利用禁止

修正方法:

bcrypt/Argon2でパスワードをハッシュ化
JWTトークンまたはセキュアなセッション管理
express-rate-limitでレート制限
パスワードポリシーの強制

3. 機密データの露出

チェック項目:

通信の暗号化
- HTTPS/TLS 1.2以上の使用
- HTTP Strict Transport Security (HSTS) ヘッダー

保存時の暗号化

// ✅ Good: AES-256で暗号化
const crypto = require('crypto');
const algorithm = 'aes-256-cbc';
const key = crypto.randomBytes(32);
const iv = crypto.randomBytes(16);

function encrypt(text) {
  const cipher = crypto.createCipheriv(algorithm, key, iv);
  let encrypted = cipher.update(text, 'utf8', 'hex');
  encrypted += cipher.final('hex');
  return encrypted;
}

機密情報のログ出力禁止

// ❌ Bad
console.log('User password:', password);
logger.info('Credit card:', creditCard);

// ✅ Good
logger.info('User authenticated', { userId: user.id });

APIキー・シークレットの管理
- 環境変数で管理
- .envファイルは.gitignoreに追加
- AWS Secrets Manager / HashiCorp Vault 等の使用

修正方法:

すべての通信をHTTPS化
機密データの暗号化（AES-256）
環境変数で機密情報を管理
ログに機密情報を出力しない

4. XXE（XML External Entity）

チェック項目:

XML パーサーの安全な設定

// ✅ Good: DTD処理を無効化
const { XMLParser } = require('fast-xml-parser');
const parser = new XMLParser({
  ignoreAttributes: false,
  processEntities: false  // DTD処理を無効化
});

外部エンティティの禁止
DTD処理の無効化

修正方法:

XML パーサーでDTD処理を無効化
外部エンティティの参照を禁止
可能であればJSONを使用

5. アクセス制御の不備

チェック項目:

認可チェックの実装

// ✅ Good: ミドルウェアで認可チェック
function requireAdmin(req, res, next) {
  if (req.user.role !== 'admin') {
    return res.status(403).json({ error: 'Forbidden' });
  }
  next();
}

app.delete('/api/users/:id', authMiddleware, requireAdmin, deleteUser);

ロールベースアクセス制御（RBAC）
- ユーザーごとにロール設定
- リソースごとに必要なロールを定義

オブジェクトレベルの認可

// ❌ Bad: IDだけで削除
app.delete('/api/posts/:id', async (req, res) => {
  await Post.destroy({ where: { id: req.params.id } });
});

// ✅ Good: 所有者チェック
app.delete('/api/posts/:id', authMiddleware, async (req, res) => {
  const post = await Post.findByPk(req.params.id);
  if (post.userId !== req.user.id) {
    return res.status(403).json({ error: 'Forbidden' });
  }
  await post.destroy();
});

IDORの防止（Insecure Direct Object Reference）

修正方法:

すべてのAPIエンドポイントで認可チェック
ロールベースアクセス制御の実装
オブジェクトの所有者確認

6. セキュリティ設定ミス

チェック項目:

デフォルトパスワードの変更
不要なサービスの無効化

セキュリティヘッダーの設定

// ✅ Good: helmet.js でセキュリティヘッダー設定
const helmet = require('helmet');
app.use(helmet());
app.use(helmet.contentSecurityPolicy({
  directives: {
    defaultSrc: ["'self'"],
    scriptSrc: ["'self'", "'unsafe-inline'"],
    styleSrc: ["'self'", "'unsafe-inline'"]
  }
}));

エラーメッセージの適切化

// ❌ Bad: 詳細なエラーを公開
res.status(500).json({ error: error.stack });

// ✅ Good: 一般的なエラーメッセージ
res.status(500).json({ error: 'Internal server error' });
// 詳細はログに記録
logger.error('Error details:', error);

CORSの適切な設定

// ✅ Good: 特定のオリジンのみ許可
const cors = require('cors');
app.use(cors({
  origin: 'https://example.com',
  credentials: true
}));

修正方法:

helmet.js でセキュリティヘッダー設定
環境別の設定（開発/本番）
エラーメッセージは一般的に、詳細はログに

7. XSS（クロスサイトスクリプティング）

チェック項目:

HTMLエスケープ

// ❌ Bad: 直接HTMLに挿入
document.getElementById('output').innerHTML = userInput;

// ✅ Good: エスケープして挿入
document.getElementById('output').textContent = userInput;

// または DOMPurify を使用
import DOMPurify from 'dompurify';
const clean = DOMPurify.sanitize(userInput);

Content-Security-Policy (CSP) 設定

HTTPOnlyクッキー

// ✅ Good: HTTPOnly, Secure, SameSite
res.cookie('token', token, {
  httpOnly: true,
  secure: true,
  sameSite: 'strict'
});

DOMベースXSS対策
- eval(), innerHTML, document.write() を避ける

修正方法:

すべての出力をエスケープ
Content-Security-Policy ヘッダー設定
DOMPurifyなどのサニタイゼーションライブラリ使用

8-10. その他の脆弱性

8. 安全でないデシリアライゼーション

信頼できないデータのデシリアライズ禁止
署名・検証の実装

9. 既知の脆弱性があるコンポーネント

依存ライブラリの最新化
npm audit / pip-audit の実行
Dependabot / Renovate の利用

10. ログとモニタリングの不足

セキュリティイベントのログ
異常検知の仕組み
定期的なログレビュー

認証・認可チェックリスト

認証テスト

ログイン機能
- 正しい認証情報でログイン成功
- 誤った認証情報でログイン失敗
- パスワード忘れ機能
セッション管理
- ログアウト後にセッション無効化
- セッションタイムアウト
- 同時ログインの制限
トークン管理（JWT）
- トークン有効期限
- トークンリフレッシュ
- 署名検証

認可テスト

ロールベースアクセス制御
- 管理者のみアクセス可能なリソース
- 一般ユーザーの権限制限
リソース所有者チェック
- 自分のリソースのみ編集・削除可能

セキュリティレポート生成

テンプレート使用

# セキュリティスキャンレポート - [アプリケーション名]

## エグゼクティブサマリー

- スキャン日: 2023-12-15
- スキャン範囲: Web アプリケーション全体
- 重大な脆弱性: 2件
- 警告: 5件
- 情報: 3件

## 重大な脆弱性 🔴

### 1. SQLインジェクション
- **場所**: `/api/users` エンドポイント
- **リスクレベル**: 高
- **説明**: ユーザー入力が直接SQLクエリに連結されている
- **影響**: データベース全体へのアクセス、データ改ざん
- **修正方法**: パラメータ化クエリを使用
  ```javascript
  // 修正前
  const query = `SELECT * FROM users WHERE id = ${userId}`;

  // 修正後
  const query = 'SELECT * FROM users WHERE id = ?';
  db.query(query, [userId]);

優先度: 最高（即座に修正）

2. 認証バイパス

場所: /admin パネル
リスクレベル: 高
説明: 管理者パネルに認証チェックがない
影響: 不正アクセス、データ改ざん
修正方法: 認証ミドルウェアを追加
優先度: 最高

警告 🟡

3. XSS（クロスサイトスクリプティング）

場所: ユーザープロフィールページ
リスクレベル: 中
説明: ユーザー入力がエスケープされずに表示
修正方法: HTMLエスケープまたはDOMPurify使用

推奨事項

即座に修正: 重大な脆弱性2件
1週間以内に修正: 警告5件
セキュリティヘッダー追加: helmet.js 使用
依存ライブラリの更新: npm audit で検出された脆弱性
定期的なセキュリティスキャン: 月1回の実施

次のステップ

重大な脆弱性の修正
修正後の再スキャン
ペネトレーションテストの実施
セキュリティ監視の強化


## Codex CLI MCP統合

```javascript
// Codex でセキュリティスキャン実行
const result = await codex({
  prompt: `
    以下のコードをセキュリティスキャンしてください:
    - OWASP Top 10 の脆弱性
    - 認証・認可の問題
    - 機密情報の露出

    ${codeContent}
  `,
  'approval-policy': 'on-request'
});

ベストプラクティス

DO（推奨）

✅ 定期的なスキャン: 月1回以上 ✅ 自動化: CI/CDパイプラインに統合 ✅ 重大度の優先順位: 高→中→低の順で対応 ✅ 修正の検証: 修正後に再スキャン ✅ 開発者教育: セキュアコーディング研修

DON'T（非推奨）

❌ スキャンのみで満足: 修正まで実施 ❌ 警告を無視: すべての指摘を確認 ❌ 本番環境で初スキャン: 開発段階から実施 ❌ 自動化ツールに全依存: 手動レビューも重要

Progressive Disclosure

このSKILL.mdはメインドキュメント（約400行）です。詳細なチェックリストは checklists/ ディレクトリ内のファイルを参照してください。

qa-security-scan

同仓库更多 Skills

同仓库更多 Skills

QA Security Scan Skill

概要

主な機能

使用方法

チェックリスト一覧

レポートテンプレート

OWASP Top 10 チェックリスト

1. インジェクション

2. 認証の不備

3. 機密データの露出

4. XXE（XML External Entity）

5. アクセス制御の不備

6. セキュリティ設定ミス

7. XSS（クロスサイトスクリプティング）

8-10. その他の脆弱性

認証・認可チェックリスト

認証テスト

認可テスト

セキュリティレポート生成

テンプレート使用

2. 認証バイパス

警告 🟡

3. XSS（クロスサイトスクリプティング）

推奨事項

次のステップ

ベストプラクティス

DO（推奨）

DON'T（非推奨）

Progressive Disclosure

関連Skill

関連リソース

QA Security Scan Skill

概要

主な機能

使用方法

チェックリスト一覧

レポートテンプレート

OWASP Top 10 チェックリスト

1. インジェクション

2. 認証の不備

3. 機密データの露出

4. XXE（XML External Entity）

5. アクセス制御の不備

6. セキュリティ設定ミス

7. XSS（クロスサイトスクリプティング）

8-10. その他の脆弱性

認証・認可チェックリスト

認証テスト

認可テスト

セキュリティレポート生成

テンプレート使用

2. 認証バイパス

警告 🟡

3. XSS（クロスサイトスクリプティング）

推奨事項

次のステップ

ベストプラクティス

DO（推奨）

DON'T（非推奨）

Progressive Disclosure

関連Skill

関連リソース