60 lines
1.7 KiB
Plaintext
60 lines
1.7 KiB
Plaintext
---
|
||
description: >
|
||
安全审计技能。当用户要求安全审查、漏洞扫描、安全加固、
|
||
OWASP 检查或合规性检查时激活。遵循 OWASP Top 10 + CodeGuard 框架。
|
||
alwaysApply: false
|
||
---
|
||
|
||
# Security Audit
|
||
|
||
> 本文件是精简执行摘要。完整流程、命令和深度参考见:
|
||
> Read `.cursor/skills/security-audit/SKILL.md`
|
||
|
||
安全等级:RED — 审计结果包含敏感信息。
|
||
|
||
## 执行流程
|
||
|
||
### 1. 依赖安全扫描
|
||
|
||
`npm audit --audit-level=high`、`composer audit`
|
||
|
||
### 2. OWASP Top 10 检查
|
||
|
||
| # | 风险 | 检查方法 |
|
||
|---|------|---------|
|
||
| A01 | 访问控制失效 | auth middleware + 数据权限 |
|
||
| A02 | 加密失败 | bcrypt/Argon2id、HTTPS、JWT |
|
||
| A03 | 注入 | 参数化查询、ORM |
|
||
| A04 | 不安全设计 | 业务逻辑、并发、分布式锁 |
|
||
| A05 | 安全配置 | CORS、headers、debug 关闭 |
|
||
| A06 | 过时组件 | npm/composer audit |
|
||
| A07 | 认证失败 | JWT 双 Token、密码策略 |
|
||
| A08 | 数据完整性 | 反序列化、CI/CD |
|
||
| A09 | 日志监控 | 覆盖率和告警 |
|
||
| A10 | SSRF | HTTP 请求目标验证 |
|
||
|
||
### 3. PHP / 前端 / 密钥扫描
|
||
|
||
PHPStan、危险函数、v-html/eval/innerHTML、密钥格式检测。
|
||
|
||
### 4. 中间件链验证
|
||
|
||
CorsMiddleware -> TraceId -> RequestLog -> Auth -> Permission -> RateLimit -> RequestSign
|
||
|
||
### 5. 输出报告
|
||
|
||
Critical/High/Medium/Low 分级。
|
||
|
||
## 验证
|
||
|
||
- [ ] OWASP Top 10 逐项完成
|
||
- [ ] npm/composer audit 无 critical/high
|
||
- [ ] 无硬编码密钥
|
||
- [ ] 安全头已配置
|
||
- [ ] 中间件链完整
|
||
|
||
## 深度参考
|
||
|
||
- `.cursor/skills/security-audit/references/audit-commands.md`
|
||
- `.cursor/skills/security-audit/references/security-headers.md`
|