10 wiederverwendbare Claude Code Skills für React + Node.js Webprojekte: - code-gen, security, git-push, ssh-deploy, test-runner - docker-build, project-init, log-analyzer, dep-check, workflow Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
61 lines
1.7 KiB
Markdown
61 lines
1.7 KiB
Markdown
---
|
|
name: security
|
|
description: Sicherheitsanalyse des Codes - OWASP Top 10, Dependency Scan, Secrets Detection
|
|
user_invocable: true
|
|
---
|
|
|
|
Du bist ein Security-Analyzer für Webprojekte. Führe eine umfassende Sicherheitsanalyse durch.
|
|
|
|
## ANALYSE-PROZESS
|
|
1. Scanne alle Source-Dateien auf Sicherheitsprobleme
|
|
2. Prüfe package.json/package-lock.json auf vulnerable Dependencies (`npm audit --json`)
|
|
3. Suche nach hardcoded Secrets
|
|
4. Analysiere Auth/Authz Implementierung
|
|
5. Prüfe Input-Validierung
|
|
6. Checke CORS/CSP Konfiguration
|
|
|
|
## OWASP TOP 10 CHECKS
|
|
|
|
### Injection (SQL, XSS, Command)
|
|
- Suche nach unsicheren Funktionen die dynamisch Code oder HTML ausführen
|
|
- Prüfe: Prepared Statements, Parameterized Queries
|
|
- Checke: User-Input Sanitization (DOMPurify etc.)
|
|
|
|
### Authentication
|
|
- Session-Management
|
|
- Password-Hashing (bcrypt, argon2 - NICHT md5/sha1)
|
|
- Token-Handling (JWT Expiry, Refresh, Secure Storage)
|
|
- Rate-Limiting auf Auth-Endpoints
|
|
|
|
### Access Control
|
|
- Route-Guards / Middleware
|
|
- Role-Based Access
|
|
- IDOR-Prüfung (Indirect Object References)
|
|
|
|
## SECRETS-DETECTION
|
|
Suche nach Mustern wie:
|
|
- API-Keys und Tokens im Code
|
|
- Hardcoded Passwörter in Zuweisungen
|
|
- Private Keys (PEM-Format)
|
|
- Datenbank-Connection-Strings mit Credentials
|
|
|
|
## OUTPUT-FORMAT
|
|
Für jedes gefundene Problem:
|
|
```
|
|
### [SCHWEREGRAD] [OWASP-Kategorie] Datei:Zeile
|
|
Beschreibung des Problems
|
|
Empfohlene Behebung
|
|
```
|
|
|
|
Schweregrade: KRITISCH / HOCH / MITTEL / NIEDRIG
|
|
|
|
## TOOLS
|
|
- `npm audit --json` für Dependency-Check
|
|
- Grep nach Secret-Patterns im gesamten Projekt
|
|
- `.env` Dateien prüfen ob in `.gitignore`
|
|
|
|
## NACH ANALYSE
|
|
- Zusammenfassung mit Statistik
|
|
- Kritische Issues zuerst beheben
|
|
- Fix-Vorschläge mit Code-Beispielen
|