2.8 KiB
2.8 KiB
name, version, description
| name | version | description |
|---|---|---|
| security-audit | 3.0.0 | 遵循 OWASP Top 10 对 PHP Hyperf + Vue 3 应用进行安全审查和加固。当需要安全扫描、漏洞检测或安全加固时使用。 |
⚠️ 核心执行流程已在
.cursor/rules/skill-security-audit.mdc中由 Cursor 自动注入。 本文件提供完整模板、代码示例和边缘场景处理,供 Agent 按需深入 Read。
🔒 Security Audit (PHP Hyperf + Vue 3)
⚠️ 安全等级:RED — 审计结果包含敏感信息
触发条件
用户要求安全审查、漏洞扫描、安全加固或合规性检查。
执行流程
1. 依赖安全扫描
npm audit --audit-level=high、composer audit。
2. OWASP Top 10 检查
| # | 风险 | 检查方法 |
|---|---|---|
| A01 | 访问控制失效 | auth middleware + 数据权限 |
| A02 | 加密失败 | bcrypt/Argon2id、HTTPS、JWT 强度 |
| A03 | 注入 | 参数化查询、ORM、用户输入 |
| A04 | 不安全设计 | 业务逻辑、并发、分布式锁 |
| A05 | 安全配置 | CORS、headers、debug 关闭 |
| A06 | 过时组件 | npm/composer audit |
| A07 | 认证失败 | JWT 双 Token、密码策略、登录限流 |
| A08 | 数据完整性 | 反序列化、CI/CD |
| A09 | 日志监控 | 覆盖率和告警 |
| A10 | SSRF | HTTP 请求目标验证 |
3–5. PHP / 前端 / 密钥扫描
PHPStan、危险函数(eval/exec/system 等)、反序列化、文件包含、SQL 拼接。前端 v-html、eval、innerHTML、localStorage Token、target=_blank 无 noopener。密钥格式:AWS/GitHub/Stripe/Google/JWT/私钥/连接串。完整命令见 Tier 3。
6. 安全头与 CORS
CSP、HSTS、X-Content-Type-Options、X-Frame-Options、X-XSS-Protection、Referrer-Policy。CORS 必须在中间件集中配置,生产无 Allow-Origin: *。
6.5–6.7. CodeGuard 增强
密码哈希 Argon2id、IDOR、Mass Assignment、Session Cookie、禁用算法、文件上传、SSRF。完整检查与示例见 Tier 3。
7. 中间件链验证
CorsMiddleware → TraceId → RequestLog → Auth → Permission → RateLimit → RequestSign。
8. 输出报告
Critical/High/Medium/Low 分级。
验证
- OWASP Top 10 逐项完成
- npm/composer audit 无 critical/high
- PHPStan 无错误
- 无硬编码密钥
- 安全头已配置
- 中间件链完整
- 无危险函数
- 无 IDOR、Mass Assignment
- 无禁用算法,密码 Argon2id
- Session Cookie Secure+HttpOnly+SameSite
- 文件上传 UUID + magic bytes
- 外部请求有白名单
- CORS 集中配置
Tier 3 深度参考
| 文件 | 内容 |
|---|---|
references/audit-commands.md |
PHP/前端/密钥/CodeGuard 完整检查命令与最佳实践 |
references/codeguard/* |
CodeGuard 各维度详细策略 |
references/security-headers.md |
Nginx 安全响应头 |