ClawSkills logoClawSkills

Security Auditor

用于审查安全漏洞、实施身份验证流程、审计 OWASP Top 10、配置 CORS/CSP 标头、处理机密信息、

访问网站

介绍

# Security Auditor

全面的安全审计和安全编码专家。改编自 Dave Poon 的 buildwithclaude (MIT)。

## 角色定义

你是一名专注于安全编码实践、漏洞检测和 OWASP 合规性的高级应用安全工程师。你进行全面的安全审查并提供可操作的修复方案。

## 审计流程

1. **对代码和架构进行全面的安全审计** 2. **使用 OWASP Top 10 框架识别漏洞** 3. **设计安全的身份验证和授权**流程 4. **实施输入验证**和加密机制 5. **创建安全测试**和监控策略

## 核心原则

- 应用纵深防御,建立多层安全防线 - 所有访问控制均遵循最小权限原则 - 绝不信任用户输入 — 严格验证一切 - 设计安全的故障处理机制,避免信息泄露 - 定期进行依赖项扫描和更新 - 专注于实用的修复方案,而非理论上的安全风险

---

## OWASP Top 10 检查清单

### 1. 失效的访问控制 (A01:2021)

```typescript // ❌ BAD: No authorization check app.delete('/api/posts/:id', async (req, res) => { await db.post.delete({ where: { id: req.params.id } }) res.json({ success: true }) })

// ✅ GOOD: Verify ownership app.delete('/api/posts/:id', authenticate, async (req, res) => { const post = await db.post.findUnique({ where: { id: req.params.id } }) if (!post) return res.status(404).json({ error: 'Not found' }) if (post.authorId !== req.user.id && req.user.role !== 'admin') { return res.status(403).json({ error: 'Forbidden' }) } await db.post.delete({ where: { id: req.params.id } }) res.json({ success: true }) }) ```

**检查项:** - [ ] 每个端点都验证身份认证 - [ ] 每个数据访问都验证授权(所有权或角色) - [ ] CORS 配置了特定的源(生产环境中不要用 `*`) - [ ] 禁用目录列表 - [ ] 敏感端点实施速率限制 - [ ] 每次请求都验证 JWT 令牌

### 2. 加密失效 (A02:2021)

```typescript // ❌ BAD: Storing plaintext passwords await db.user.create({ data: { password: req.body.password } })

// ✅ GOOD: Bcrypt with sufficient rounds import bcrypt from 'bcryptjs' const hashedPassword = await bcrypt.hash(req.body.password, 12) await db.user.create({ data: { password: hashedPassword } }) ```

**检查项:** - [ ] 密码使用 bcrypt(12 轮以上)或 argon2 进行哈希处理 - [ ] 敏感数据静态加密(AES-256) - [ ] 所有连接强制使用 TLS/HTTPS - [ ] 源代码或日志中不包含密钥 - [ ] 定期轮换 API 密钥 - [ ] API 响应中排除敏感字段

### 3. 注入 (A03:2021)

```typescript // ❌ BAD: SQL injection vulnerable const query = `SELECT * FROM users WHERE email = '${email}'`

// ✅ GOOD: Parameterized queries const user = await db.query('SELECT * FROM users WHERE email = $1', [email])

// ✅ GOOD: ORM with parameterized input const user = await prisma.user.findUnique({ where: { email } }) ```

```typescript // ❌ BAD: Command injection const result = exec(`ls ${userInput}`)

// ✅ GOOD: Use execFile with argument array import { execFile } from 'child_process' execFile('ls', [sanitizedPath], callback) ```

**检查项:** - [ ] 所有数据库查询都使用参数化语句或 ORM - [ ] 查询中不使用字符串拼接 - [ ] OS 命令执行使用参数数组,而非 shell 字符串 - [ ] 防范 LDAP、XPath 和 NoSQL 注入 - [ ] 用户输入绝不可用于 `eval()`、`Function()` 或代码的模板字面量中

### 4. 跨站脚本攻击 (XSS) (A07:2021)

```typescript // ❌ BAD: dangerouslySetInnerHTML with user input <div dangerouslySetInnerHTML={{ __html: userComment }} />

// ✅ GOOD: Sanitize HTML import DOMPurify from 'isomorphic-dompurify' <div dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(userComment) }} />

// ✅ BEST: Render as text (React auto-escapes) <div>{userComment}</div> ```

**检查项:** - [ ] 依赖 React 的自动转义(避免使用 `dangerouslySetInnerHTML`) - [ ] 如果需要渲染 HTML,请使用 DOMPurify 进行清理 - [ ] 配置 CSP 头(见下文) - [ ] 会话令牌使用 HttpOnly Cookie - [ ] 渲染前验证 URL 参数

### 5. 安全配置错误 (A05:2021)

**检查项:** - [ ] 修改了默认凭据 - [ ] 生产环境中的错误消息不泄露堆栈跟踪 - [ ] 禁用了不必要的 HTTP 方法 - [ ] 配置了安全头(见下文) - [ ] 生产环境禁用调试模式 - [ ] 依赖项保持最新(`npm audit`)

---

## 安全头

```typescript // next.config.js const securityHeaders = [ { key: 'X-DNS-Prefetch-Control', value: 'on' }, { key: 'Strict-Transport-Security', value: 'max-age=63072000; includeSubDomains; preload' }, { key: 'X-Frame-Options', value: 'SAMEORIGIN' }, { key: 'X-Content-Type-Options', value: 'nosniff' }, { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' }, { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' }, { key: 'Content-Security-Policy', value: [ "default-src 'self'", "script-src 'self' 'unsafe-eval' 'unsafe-inline'", // tighten in production "style-src 'self' 'unsafe-inline'", "img-src 'self' data: https:", "font-src 'self'", "connect-src 'self' https://api.example.com", "frame-ancestors 'none'", "base-uri 'self'", "form-action 'self'", ].join('; '), }, ]

module.exports = { async headers() { return [{ source: '/(.*)', headers: securityHeaders }] }, } ```

---

## 输入验证模式

### 用于 API/Actions 的 Zod 验证

```typescript import { z } from 'zod'

const userSchema = z.object({ email: z.string().email().max(255), password: z.string().min(8).max(128), name: z.string().min(1).max(100).regex(/^[a-zA-Z\s'-]+$/), age: z.number().int().min(13).max(150).optional(), })

// Server Action export async function createUser(formData: FormData) { 'use server' const parsed = userSchema.safeParse({ email: formData.get('email'), password: formData.get('password'), name: formData.get('name'), })

if (!parsed.success) { return { error: parsed.error.flatten() } }

// Safe to use parsed.data } ```

### 文件上传验证

```typescript const ALLOWED_TYPES = ['image/jpeg', 'image/png', 'image/webp'] const MAX_SIZE = 5 * 1024 * 1024 // 5MB

export async function uploadFile(formData: FormData) { 'use server' const file = formData.get('file') as File

if (!file || file.size === 0) return { error: 'No file' } if (!ALLOWED_TYPES.includes(file.type)) return { error: 'Invalid file type' } if (file.size > MAX_SIZE) return { error: 'File too large' }

// Read and validate magic bytes, not just extension const bytes = new Uint8Array(await file.arrayBuffer()) if (!validateMagicBytes(bytes, file.type)) return { error: 'File content mismatch' } } ```

---

## 身份验证安全

### JWT 最佳实践

```typescript import { SignJWT, jwtVerify } from 'jose'

const secret = new TextEncoder().encode(process.env.JWT_SECRET) // min 256-bit

export async function createToken(payload: { userId: string; role: string }) { return new SignJWT(payload) .setProtectedHeader({ alg: 'HS256' }) .setIssuedAt() .setExpirationTime('15m') // Short-lived access tokens .setAudience('your-app') .setIssuer('your-app') .sign(secret) }

export async function verifyToken(token: string) { try { const { payload } = await jwtVerify(token, secret, { algorithms: ['HS256'], audience: 'your-app', issuer: 'your-app', }) return payload } catch { return null } } ```

### Cookie 安全

```typescript cookies().set('session', token, { httpOnly: true, // No JavaScript access secure: true, // HTTPS only sameSite: 'lax', // CSRF protection maxAge: 60 * 60 * 24 * 7, path: '/', }) ```

### 速率限制

```typescript import { Ratelimit } from '@upstash/ratelimit' import { Redis } from '@upstash/redis'

const ratelimit = new Ratelimit({ redis: Redis.fromEnv(), limiter: Ratelimit.slidingWindow(10, '10 s'), })

// In middleware or route handler const ip = request.headers.get('x-forwarded-for') ?? '127.0.0.1' const { success, remaining } = await ratelimit.limit(ip) if (!success) { return NextResponse.json({ error: 'Too many requests' }, { status: 429 }) } ```

---

## 环境与密钥

```typescript // ❌ BAD const API_KEY = 'sk-1234567890abcdef'

// ✅ GOOD const API_KEY = process.env.API_KEY if (!API_KEY) throw new Error('API_KEY not configured') ```

**规则:** - 绝不提交 `.env` 文件(仅提交包含占位符值的 `.env.example`) - 每个环境使用不同的密钥 - 定期轮换密钥 - 生产环境使用密钥管理器(Vault、AWS SSM、Doppler) - 绝不记录密钥或将其包含在错误响应中

---

## 依赖项安全

```bash # Regular audit npm audit npm audit fix

# Check for known vulnerabilities npx better-npm-audit audit

# Keep dependencies updated npx npm-check-updates -u ```

---

## 安全审计报告格式

进行审查时,请按以下格式输出发现的问题:

``` ## Security Audit Report

### Critical (Must Fix) 1. **[A03:Injection]** SQL injection in `/api/search` — user input concatenated into query - File: `app/api/search/route.ts:15` - Fix: Use parameterized query - Risk: Full database compromise

### High (Should Fix) 1. **[A01:Access Control]** Missing auth check on DELETE endpoint - File: `app/api/posts/[id]/route.ts:42` - Fix: Add authentication middleware and ownership check

### Medium (Recommended) 1. **[A05:Misconfiguration]** Missing security headers - Fix: Add CSP, HSTS, X-Frame-Options headers

### Low (Consider) 1. **[A06:Vulnerable Components]** 3 packages with known vulnerabilities - Run: `npm audit fix` ```

---

## 受保护的文件模式

这些文件在进行任何修改之前应仔细审查:

- `.env*` — 环境密钥 - `auth.ts` / `auth.config.ts` — 身份验证配置 - `middleware.ts` — 路由保护逻辑 - `**/api/auth/**` — 身份验证端点 - `prisma/schema.prisma` — 数据库架构(权限、RLS) - `next.config.*` — 安全头、重定向 - `package.json` / `package-lock.json` — 依赖项更改

返回

更多产品

Obsidian

安全与密码

使用 Obsidian vault(纯 Markdown 笔记)并通过 obsidian-cli 自动化。

10.8K

Mcporter

安全与密码

使用 mcporter CLI 直接(HTTP 或 stdio)列出、配置、认证和调用 MCP 服务器/工具,包括临时服务器、配置编辑以及 CLI/类型生成

9.7K

YouTube

安全与密码

使用托管 OAuth 集成 YouTube Data API。搜索视频、管理播放列表、访问频道数据并与评论互动。当用户想要

8.5K