jpskill.com
🛠️ 開発・MCP コミュニティ

php-config-audit

PHP Webアプリケーションのセキュリティ監査を行い、CORS設定、情報漏洩、デバッグスイッチ、セキュリティヘッダー、危険なランタイムスイッチなどを特定し、脆弱性の悪用可能性分析、PoC、修正提案を提供するツールです。

📜 元の英語説明(参考)

PHP Web 配置安全审计工具。识别 CORS/错误暴露/调试开关/安全头/危险运行时开关等,输出分级、可利用性分析、PoC 与修复建议(禁止省略)。

🇯🇵 日本人クリエイター向け解説

一言でいうと

PHP Webアプリケーションのセキュリティ監査を行い、CORS設定、情報漏洩、デバッグスイッチ、セキュリティヘッダー、危険なランタイムスイッチなどを特定し、脆弱性の悪用可能性分析、PoC、修正提案を提供するツールです。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o php-config-audit.zip https://jpskill.com/download/5999.zip && unzip -o php-config-audit.zip && rm php-config-audit.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/5999.zip -OutFile "$d\php-config-audit.zip"; Expand-Archive "$d\php-config-audit.zip" -DestinationPath $d -Force; ri "$d\php-config-audit.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して php-config-audit.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → php-config-audit フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

PHP 設定セキュリティ監査(php-config-audit)

PHP プロジェクトの設定とランタイム設定を分析し、セキュリティ関連の設定上の欠陥を検出します。

  • CORS の過度な許可(すべてのオリジンを許可、不適切な credentials の組み合わせ)
  • エラーとデバッグ情報の露出(display_errors、デバッグモード、スタックの非表示不足)
  • セキュリティ応答ヘッダーの欠落(CSP、X-Frame-Options/Frame-Options、Referrer-Policy、HSTS など)
  • 危険な PHP/ランタイムスイッチ(allow_url_includefile_uploads など、ビジネスと連携する危険な組み合わせ)
  • アップロード/ダウンロードディレクトリのアクセス可能/実行可能属性(設定から推測できる場合は証拠を出力)

分類と番号付け

  • 詳細については、shared/SEVERITY_RATING.md を参照してください。
  • 脆弱性番号:{C/H/M/L}-CFG-{連番}

必須の証拠(強制)

各問題について、証拠パスを提示する必要があります。

  • 設定ファイル/環境変数の場所(例:.envconfig/*.php/yamlphp.ini、Dockerfile/entrypoint)
  • ランタイム設定コードの場所(ini_setset_exception_handler、応答ヘッダーミドルウェア)
  • 影響点:どのルート/応答がこの設定の影響を受けるか(少なくとも 1 つの入力/応答チェーンに関連付ける必要があります)

悪用可能性と前提条件(強制)

  • エラーの露出:機密情報が漏洩し、攻撃者に悪用される可能性があるか(例:任意のファイル読み取り/SQLi と組み合わせて昇格)
  • CORS:被害者のブラウザシナリオと credentials の組み合わせが存在するか
  • セキュリティヘッダーの欠落:XSS/クリックジャッキングと連鎖的に悪用できるか

PoC(強制)

観測可能な PoC(例:curl -i)またはリクエスト手順を提示する必要があります。

  • 実際のルートで応答をトリガーする
  • 欠落または誤った応答ヘッダーまたはスタック出力の証拠を示す

証拠の引用(強制:静的証拠を優先、トレースはオプションの強化)

CFG は非トレースゲートカテゴリです:設定セキュリティ監査は、静的な設定ファイル/コードの証拠を主な根拠とし、php-route-tracer のトレースゲートや ## 9) Sink Evidence Type Checklist を前提条件のハードルとはしません。トレース出力に CFG 行の証拠が存在する場合は、強化された引用として使用できます。

各設定セキュリティの疑わしいリスクについて、以下の証拠を提示する必要があります(ソースは静的コード/設定ファイル、トレースは強化として使用可能)。

  1. EVID_CFG_CONFIG_LOCATION:設定ファイル/環境変数の場所の証拠(例:.envconfig/*.php/yamlphp.ini、Dockerfile/entrypoint)
  2. EVID_CFG_RUNTIME_SETTING_CODE:ランタイム設定コードの場所の証拠(ini_set/set_exception_handler/応答ヘッダーミドルウェアなど)
  3. EVID_CFG_IMPACT_ASSOCIATION:影響点関連の証拠(どのルート/応答がこの設定の影響を受けるか)
  4. EVID_CFG_SECURITY_SWITCH_EVIDENCE:セキュリティヘッダー/エラーの露出/CORS/危険なスイッチなどの主要な設定の証拠

証拠の欠落の処理(強制、統一基準に従う)

  • 設定項目は静的ファイルから直接証拠を取得でき、トレースの完全性には依存しません。
  • 上記 1~4 の静的証拠がすべて揃っており、影響パスが明確な場合:直接 ✅悪用可能と確認済み または 🟡高確率 を提示できます。
  • 主要な影響点関連(3)が欠落している場合(どの入力/応答が影響を受けるか確認できない場合):⚠️検証待ち に格下げされます。

レポート出力

{output_path}/vuln_audit/cfg_{timestamp}.md
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

PHP 配置安全审计(php-config-audit)

分析 PHP 项目配置与运行时设置,检测安全相关配置缺陷:

  • CORS 过宽(允许所有来源、credentials 组合不当)
  • 错误与调试信息暴露(display_errors、debug 模式、未隐藏堆栈)
  • 安全响应头缺失(CSP、X-Frame-Options/Frame-Options、Referrer-Policy、HSTS 等)
  • 危险 PHP/运行时开关(如 allow_url_includefile_uploads 等与业务联动的危险组合)
  • 上传/下载目录的可访问/可执行属性(若可由配置推断则输出证据)

分级与编号

  • 详见:shared/SEVERITY_RATING.md
  • 漏洞编号:{C/H/M/L}-CFG-{序号}

必检证据(强制)

必须给出每条问题的证据路径:

  • 配置文件/环境变量位置(例如 .envconfig/*.php/yamlphp.ini、Dockerfile/entrypoint)
  • 运行时设置代码位置(ini_setset_exception_handler、响应头中间件)
  • 影响点:哪些路由/响应被该配置影响(必须关联至少一类入口/响应链)

可利用性与前置条件(强制)

  • 错误暴露:是否会泄露敏感信息并被攻击者利用(例如结合任意文件读取/SQLi 提升)
  • CORS:是否存在受害者浏览器场景与 credentials 组合
  • 安全头缺失:是否可与 XSS/点击劫持链式利用

PoC(强制)

必须给出可观察 PoC(例如 curl -i)或请求步骤:

  • 用真实路由触发响应
  • 展示缺失/错误的响应头或堆栈输出证据

证据引用(强制:静态证据优先,trace 可选增强)

CFG 属于非 trace-gate 类别:配置安全审计以静态配置文件/代码证据为主要依据,不以 php-route-tracer 的 trace-gate 或 ## 9) Sink Evidence Type Checklist 作为前置硬门槛。若 trace 产出中存在 CFG 行证据,可作为增强引用。

每条配置安全疑似风险必须给出以下证据(来源为静态代码/配置文件,trace 可作为增强):

  1. EVID_CFG_CONFIG_LOCATION:配置文件/环境变量位置证据(例如 .envconfig/*.php/yamlphp.ini、Dockerfile/entrypoint)
  2. EVID_CFG_RUNTIME_SETTING_CODE:运行时设置代码位置证据(ini_set/set_exception_handler/响应头中间件等)
  3. EVID_CFG_IMPACT_ASSOCIATION:影响点关联证据(哪些路由/响应被该配置影响)
  4. EVID_CFG_SECURITY_SWITCH_EVIDENCE:安全头/错误暴露/CORS/危险开关等关键配置证据

证据缺失处理(强制,遵循统一标准)

  • 配置项可从静态文件直接取证,不依赖 trace 完整性。
  • 若上述 1~4 的静态证据齐全且影响路径清晰:可直接给出 ✅已确认可利用🟡高概率
  • 若关键影响点关联(3)缺失(无法确认哪些入口/响应受影响):降级为 ⚠️待验证

报告输出

{output_path}/vuln_audit/cfg_{timestamp}.md