初始化
This commit is contained in:
81
.cursor/skills/security-audit/SKILL.md
Normal file
81
.cursor/skills/security-audit/SKILL.md
Normal file
@@ -0,0 +1,81 @@
|
||||
---
|
||||
name: security-audit
|
||||
version: 3.0.0
|
||||
description: "遵循 OWASP Top 10 对 PHP Hyperf + Vue 3 应用进行安全审查和加固。当需要安全扫描、漏洞检测或安全加固时使用。"
|
||||
---
|
||||
|
||||
> ⚠️ 核心执行流程已在 `.cursor/rules/skill-security-audit.mdc` 中由 Cursor 自动注入。
|
||||
> 本文件提供完整模板、代码示例和边缘场景处理,供 Agent 按需深入 Read。
|
||||
|
||||
# 🔒 Security Audit (PHP Hyperf + Vue 3)
|
||||
|
||||
## ⚠️ 安全等级:RED — 审计结果包含敏感信息
|
||||
|
||||
## 触发条件
|
||||
|
||||
用户要求安全审查、漏洞扫描、安全加固或合规性检查。
|
||||
|
||||
## 执行流程
|
||||
|
||||
### 1. 依赖安全扫描
|
||||
|
||||
`npm audit --audit-level=high`、`composer audit`。
|
||||
|
||||
### 2. OWASP Top 10 检查
|
||||
|
||||
| # | 风险 | 检查方法 |
|
||||
|---|------|---------|
|
||||
| A01 | 访问控制失效 | auth middleware + 数据权限 |
|
||||
| A02 | 加密失败 | bcrypt/Argon2id、HTTPS、JWT 强度 |
|
||||
| A03 | 注入 | 参数化查询、ORM、用户输入 |
|
||||
| A04 | 不安全设计 | 业务逻辑、并发、分布式锁 |
|
||||
| A05 | 安全配置 | CORS、headers、debug 关闭 |
|
||||
| A06 | 过时组件 | npm/composer audit |
|
||||
| A07 | 认证失败 | JWT 双 Token、密码策略、登录限流 |
|
||||
| A08 | 数据完整性 | 反序列化、CI/CD |
|
||||
| A09 | 日志监控 | 覆盖率和告警 |
|
||||
| A10 | SSRF | HTTP 请求目标验证 |
|
||||
|
||||
### 3–5. PHP / 前端 / 密钥扫描
|
||||
|
||||
PHPStan、危险函数(eval/exec/system 等)、反序列化、文件包含、SQL 拼接。前端 v-html、eval、innerHTML、localStorage Token、target=_blank 无 noopener。密钥格式:AWS/GitHub/Stripe/Google/JWT/私钥/连接串。完整命令见 **Tier 3**。
|
||||
|
||||
### 6. 安全头与 CORS
|
||||
|
||||
CSP、HSTS、X-Content-Type-Options、X-Frame-Options、X-XSS-Protection、Referrer-Policy。CORS 必须在中间件集中配置,生产无 Allow-Origin: *。
|
||||
|
||||
### 6.5–6.7. CodeGuard 增强
|
||||
|
||||
密码哈希 Argon2id、IDOR、Mass Assignment、Session Cookie、禁用算法、文件上传、SSRF。完整检查与示例见 **Tier 3**。
|
||||
|
||||
### 7. 中间件链验证
|
||||
|
||||
CorsMiddleware → TraceId → RequestLog → Auth → Permission → RateLimit → RequestSign。
|
||||
|
||||
### 8. 输出报告
|
||||
|
||||
Critical/High/Medium/Low 分级。
|
||||
|
||||
## 验证
|
||||
|
||||
1. [ ] OWASP Top 10 逐项完成
|
||||
2. [ ] npm/composer audit 无 critical/high
|
||||
3. [ ] PHPStan 无错误
|
||||
4. [ ] 无硬编码密钥
|
||||
5. [ ] 安全头已配置
|
||||
6. [ ] 中间件链完整
|
||||
7. [ ] 无危险函数
|
||||
8. [ ] 无 IDOR、Mass Assignment
|
||||
9. [ ] 无禁用算法,密码 Argon2id
|
||||
10. [ ] Session Cookie Secure+HttpOnly+SameSite
|
||||
11. [ ] 文件上传 UUID + magic bytes
|
||||
12. [ ] 外部请求有白名单
|
||||
13. [ ] CORS 集中配置
|
||||
|
||||
## Tier 3 深度参考
|
||||
|
||||
| 文件 | 内容 |
|
||||
|------|------|
|
||||
| `references/audit-commands.md` | PHP/前端/密钥/CodeGuard 完整检查命令与最佳实践 |
|
||||
| `references/codeguard/*` | CodeGuard 各维度详细策略 |
|
||||
| `references/security-headers.md` | Nginx 安全响应头 |
|
||||
Reference in New Issue
Block a user