
de Anthropic Cybersecurity Skills23,316
Flux de travail guidé pour identifier, valider et documenter les XSS réfléchis, stockés et basés sur le DOM à l'aide de Burp Suite (scanner, repeater, intruder, DOM Invader).
Guide pratique étape par étape pour les testeurs de sécurité afin de trouver et valider les vulnérabilités de cross-site scripting (XSS) en utilisant Burp Suite Professional. Couvre la configuration du proxy, le mapping, les vérifications de réflexion via Repeater, l'utilisation d'Intruder pour les XSS stockés, DOM Invader pour les problèmes côté client, l'analyse CSP, les techniques de contournement et le rapport de conclusions reproductibles. Inclut des exemples de payloads et des recommandations de remédiation.
Utilisez cette compétence lors de tests d'intrusion autorisés, d'évaluations de bug bounty ou de tâches de validation de vulnérabilités lorsque vous devez confirmer des découvertes XSS, évaluer l'efficacité de la CSP ou effectuer une analyse approfondie des XSS côté client et serveur. Non destiné aux scans non autorisés.
Compatibilité déduite avec l'outillage d'agents axé sur la sécurité et les plateformes supportant les flux de travail CLI/scriptés (ex: Claude Code, GitHub Copilot, Codex CLI, Cursor, Gemini CLI).
XSS vulnerability testing skill for Burp Suite-based security assessments. The SKILL.md is comprehensive with 7-step workflow, CSP bypass techniques, and output format. The bundled agent.py script performs automated reflection discovery, character encoding tests, stored XSS testing, and CSP analysis. Script failed at runtime because it requires a base_url argument (expected for a pentesting tool needing a target). No security concerns — no hardcoded creds, no destructive commands, no exfiltration.
The skill includes XSS payload examples (cookie theft, keylogger) as instructional content for authorized penetration testing — this is appropriate context. The script is well-structured for its purpose but requires a live target to demonstrate functionality.
Analyse du Renseignement des Sites de Fuite de Ransomware
Collecter et analyser les publications des sites de fuite de données (DLS) de ransomware pour extraire des renseignements sur les victimes, les groupes, les secteurs et la chronologie pour la chasse aux menaces et l'évaluation des risques.
Évaluation des plateformes de Threat Intelligence
Guide l'acquisition, l'évaluation et les tests de preuve de concept pour les plateformes de Threat Intelligence (MISP, OpenCTI, ThreatConnect, Anomali, EclecticIQ) basés sur inte
Modélisation des Menaces avec OWASP Threat Dragon
Utilisez OWASP Threat Dragon pour créer des diagrammes de flux de données, appliquer les classifications de menaces STRIDE/LINDDUN et générer des rapports de modélisation des menaces pour guider les revues de conception sécurisée.
Chasse aux Beacons Cobalt Strike
Détectez l'activité réseau des beacons Cobalt Strike à l'aide de signatures de certificats TLS, d'empreintes JA3/JA3S/JARM, de correspondance de profils HTTP et d'analyse temporelle dans Zeek/Suricata.
Mise en œuvre de la persistance de domaine avec DCSync
Procédures guidées pour identifier les comptes capables de DCSync et extraire les hachages d'identifiants Active Directory (KRBTGT, admin) pour les tests de red-team autorisés et la validation.
Test des vulnérabilités des JSON Web Tokens (JWT)
Techniques et vérifications pour identifier et exploiter les mauvaises configurations courantes des JWT (alg none, confusion d'algorithme, injection kid/JKU, secrets faibles).
Évaluation des Risques Cyber NIST SP 800-30
Réalise des évaluations complètes des risques de cybersécurité en utilisant la méthodologie NIST SP 800-30 Rev 1 pour identifier les menaces, les vulnérabilités et l'impact.