---
name: security-audit
version: 3.0.0
description: "遵循 OWASP Top 10 对 PHP Hyperf + Vue 3 应用进行安全审查和加固。当需要安全扫描、漏洞检测或安全加固时使用。"
---

> ⚠️ 核心执行流程已在 `.cursor/rules/skill-security-audit.mdc` 中由 Cursor 自动注入。
> 本文件提供完整模板、代码示例和边缘场景处理，供 Agent 按需深入 Read。

# 🔒 Security Audit (PHP Hyperf + Vue 3)

## ⚠️ 安全等级：RED — 审计结果包含敏感信息

## 触发条件

用户要求安全审查、漏洞扫描、安全加固或合规性检查。

## 执行流程

### 1. 依赖安全扫描

`npm audit --audit-level=high`、`composer audit`。

### 2. OWASP Top 10 检查

| # | 风险 | 检查方法 |
|---|------|---------|
| A01 | 访问控制失效 | auth middleware + 数据权限 |
| A02 | 加密失败 | bcrypt/Argon2id、HTTPS、JWT 强度 |
| A03 | 注入 | 参数化查询、ORM、用户输入 |
| A04 | 不安全设计 | 业务逻辑、并发、分布式锁 |
| A05 | 安全配置 | CORS、headers、debug 关闭 |
| A06 | 过时组件 | npm/composer audit |
| A07 | 认证失败 | JWT 双 Token、密码策略、登录限流 |
| A08 | 数据完整性 | 反序列化、CI/CD |
| A09 | 日志监控 | 覆盖率和告警 |
| A10 | SSRF | HTTP 请求目标验证 |

### 3–5. PHP / 前端 / 密钥扫描

PHPStan、危险函数（eval/exec/system 等）、反序列化、文件包含、SQL 拼接。前端 v-html、eval、innerHTML、localStorage Token、target=_blank 无 noopener。密钥格式：AWS/GitHub/Stripe/Google/JWT/私钥/连接串。完整命令见 **Tier 3**。

### 6. 安全头与 CORS

CSP、HSTS、X-Content-Type-Options、X-Frame-Options、X-XSS-Protection、Referrer-Policy。CORS 必须在中间件集中配置，生产无 Allow-Origin: *。

### 6.5–6.7. CodeGuard 增强

密码哈希 Argon2id、IDOR、Mass Assignment、Session Cookie、禁用算法、文件上传、SSRF。完整检查与示例见 **Tier 3**。

### 7. 中间件链验证

CorsMiddleware → TraceId → RequestLog → Auth → Permission → RateLimit → RequestSign。

### 8. 输出报告

Critical/High/Medium/Low 分级。

## 验证

1. [ ] OWASP Top 10 逐项完成
2. [ ] npm/composer audit 无 critical/high
3. [ ] PHPStan 无错误
4. [ ] 无硬编码密钥
5. [ ] 安全头已配置
6. [ ] 中间件链完整
7. [ ] 无危险函数
8. [ ] 无 IDOR、Mass Assignment
9. [ ] 无禁用算法，密码 Argon2id
10. [ ] Session Cookie Secure+HttpOnly+SameSite
11. [ ] 文件上传 UUID + magic bytes
12. [ ] 外部请求有白名单
13. [ ] CORS 集中配置

## Tier 3 深度参考

| 文件 | 内容 |
|------|------|
| `references/audit-commands.md` | PHP/前端/密钥/CodeGuard 完整检查命令与最佳实践 |
| `references/codeguard/*` | CodeGuard 各维度详细策略 |
| `references/security-headers.md` | Nginx 安全响应头 |