php-crypto-audit
PHPのWebソースコードにおける暗号化とキーのセキュリティを監査し、脆弱なハッシュや暗号、ハードコードされたキー、署名検証の欠陥を特定して、PoCと修正案を提示するSkill。
📜 元の英語説明(参考)
PHP Web 源码加密与密钥安全审计工具。识别弱哈希/弱加密/硬编码密钥/签名校验缺陷,输出分级、PoC 与修复建议(禁止省略)。
🇯🇵 日本人クリエイター向け解説
PHPのWebソースコードにおける暗号化とキーのセキュリティを監査し、脆弱なハッシュや暗号、ハードコードされたキー、署名検証の欠陥を特定して、PoCと修正案を提示するSkill。
※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。
下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o php-crypto-audit.zip https://jpskill.com/download/6001.zip && unzip -o php-crypto-audit.zip && rm php-crypto-audit.zip$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/6001.zip -OutFile "$d\php-crypto-audit.zip"; Expand-Archive "$d\php-crypto-audit.zip" -DestinationPath $d -Force; ri "$d\php-crypto-audit.zip"完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。
💾 手動でダウンロードしたい(コマンドが難しい人向け)
- 1. 下の青いボタンを押して
php-crypto-audit.zipをダウンロード - 2. ZIPファイルをダブルクリックで解凍 →
php-crypto-auditフォルダができる - 3. そのフォルダを
C:\Users\あなたの名前\.claude\skills\(Win)または~/.claude/skills/(Mac)へ移動 - 4. Claude Code を再起動
⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。
🎯 このSkillでできること
下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。
📦 インストール方法 (3ステップ)
- 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
- 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
- 3. 展開してできたフォルダを、ホームフォルダの
.claude/skills/に置く- · macOS / Linux:
~/.claude/skills/ - · Windows:
%USERPROFILE%\.claude\skills\
- · macOS / Linux:
Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。
詳しい使い方ガイドを見る →- 最終更新
- 2026-05-17
- 取得日時
- 2026-05-18
- 同梱ファイル
- 1
📖 Skill本文(日本語訳)
※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。
[Skill 名] php-crypto-audit
PHP 暗号化と鍵のセキュリティ監査(php-crypto-audit)
PHP プロジェクトのソースコードにおけるパスワード/トークン/機密データの暗号化とハッシュの実装を分析し、以下を検出します。
- 弱いハッシュ(MD5/SHA1/salt なし)
- 安全でない対称/非対称暗号化の使用(ECB、固定 IV、誤ったモード)
- 署名検証の欠陥(JWT 未検証、HMAC の誤用、アルゴリズム選択が制御可能)
- ハードコードされた鍵/平文の key 漏洩
分類と番号付け
- 詳細については、
shared/SEVERITY_RATING.mdを参照してください。 - 脆弱性番号:
{C/H/M/L}-CRYPTO-{連番}
必須チェック Sink(強制)
以下の実装ポイントを検索し、分析する必要があります(プロジェクトの実際に応じて置き換えてください)。
- パスワードハッシュ:
md5/sha1/hash(password_hash 以外)、cryptパラメータの誤用 - セキュリティハッシュ:
password_hash/password_verify(パラメータが正しいか確認) - 対称暗号化:
openssl_encrypt/decrypt(mode/iv を確認) - 署名:
hash_hmac、openssl_sign、JWT verify/署名比較の実装
必須チェック要件(強制)
- 「鍵の出所」を特定する必要があります:ハードコード/環境変数/設定ファイル/リクエストパラメータ
- 「検証が信頼できるか」を判断する必要があります:アルゴリズムが制御可能か、または比較時のタイミング漏洩が存在するか
- 修正提案と移行計画を出力する必要があります(例:ハッシュアルゴリズムのアップグレード、パラメータ化モードの強制使用)
PoC(強制フレームワーク)
暗号化関連の脆弱性は環境に依存する可能性があるため、PoC は少なくとも以下を提供する必要があります。
- 実行可能な「検証フレームワーク」(例:JWT payload を構築し、発生すべき検証失敗/バイパスを説明)
- または観測可能な証拠(例:ログ漏洩、エラーモードが可逆的な結果を生成)
レポート出力
{output_path}/vuln_audit/crypto_{timestamp}.md📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開
PHP 加密与密钥安全审计(php-crypto-audit)
分析 PHP 项目源码中密码/令牌/敏感数据的加密与哈希实现,检测:
- 弱哈希(MD5/SHA1/无 salt)
- 不安全的对称/非对称加密使用(ECB、固定 IV、错误模式)
- 签名校验缺陷(JWT 未验证、HMAC 用错、算法选择可控)
- 硬编码密钥/明文 key 泄露
分级与编号
- 详见:
shared/SEVERITY_RATING.md - 漏洞编号:
{C/H/M/L}-CRYPTO-{序号}
必检 Sink(强制)
必须搜索并分析以下实现点(按项目实际替换):
- 密码哈希:
md5/sha1/hash(非 password_hash)、crypt参数误用 - 安全哈希:
password_hash/password_verify(检查是否参数正确) - 对称加密:
openssl_encrypt/decrypt(检查 mode/iv) - 签名:
hash_hmac、openssl_sign、JWT verify/签名比较实现
必检要求(强制)
- 必须定位“密钥来源”:硬编码/环境变量/配置文件/请求参数
- 必须判断“校验是否可靠”:是否存在算法可控或比较时序泄露
- 必须输出修复建议与迁移方案(例如升级哈希算法、强制使用参数化模式)
PoC(强制框架)
由于加密类漏洞可能依赖环境,PoC 至少要给出:
- 可执行的“验证框架”(例如构造 JWT payload 并解释应当发生的验证失败/绕过)
- 或给出可观测的证据(例如日志泄露、错误模式产生可逆结果)
报告输出
{output_path}/vuln_audit/crypto_{timestamp}.md