jpskill.com
🛠️ 開発・MCP コミュニティ 🔴 エンジニア向け 👤 エンジニア・AI開発者

🛠️ Webセキュリティテスト

web-security-testing

Webアプリケーションのセキュリティを、OWASP Top 10脆弱性(インジェクション、XSS、認証不備、アクセス制御など)に基づいてテストし、安全性を確認するSkill。

⏱ RAG構築 1週間 → 1日

📺 まず動画で見る(YouTube)

▶ 【衝撃】最強のAIエージェント「Claude Code」の最新機能・使い方・プログラミングをAIで効率化する超実践術を解説! ↗

※ jpskill.com 編集部が参考用に選んだ動画です。動画の内容と Skill の挙動は厳密には一致しないことがあります。

📜 元の英語説明(参考)

Web application security testing workflow for OWASP Top 10 vulnerabilities including injection, XSS, authentication flaws, and access control issues.

🇯🇵 日本人クリエイター向け解説

一言でいうと

Webアプリケーションのセキュリティを、OWASP Top 10脆弱性(インジェクション、XSS、認証不備、アクセス制御など)に基づいてテストし、安全性を確認するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o web-security-testing.zip https://jpskill.com/download/3695.zip && unzip -o web-security-testing.zip && rm web-security-testing.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/3695.zip -OutFile "$d\web-security-testing.zip"; Expand-Archive "$d\web-security-testing.zip" -DestinationPath $d -Force; ri "$d\web-security-testing.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して web-security-testing.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → web-security-testing フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

💬 こう話しかけるだけ — サンプルプロンプト

  • Web Security Testing を使って、最小構成のサンプルコードを示して
  • Web Security Testing の主な使い方と注意点を教えて
  • Web Security Testing を既存プロジェクトに組み込む方法を教えて

これをClaude Code に貼るだけで、このSkillが自動発動します。

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

Webセキュリティテストのワークフロー

概要

インジェクション攻撃、XSS、認証の不備、アクセス制御の問題など、OWASP Top 10の脆弱性に対してWebアプリケーションをテストするための専門的なワークフローです。

このワークフローを使用するタイミング

このワークフローは、以下の状況で使用してください。

  • Webアプリケーションのセキュリティテストを行う場合
  • OWASP Top 10の評価を実施する場合
  • 侵入テストを実施する場合
  • セキュリティ制御を検証する場合
  • バグバウンティハンティングを行う場合

ワークフローのフェーズ

フェーズ1:偵察

呼び出すスキル

  • scanning-tools - セキュリティスキャン
  • top-web-vulnerabilities - OWASPの知識

アクション

  1. アプリケーションの表面をマッピングする
  2. テクノロジーを特定する
  3. エンドポイントを発見する
  4. サブドメインを見つける
  5. 発見事項を文書化する

コピー&ペーストプロンプト

Use @scanning-tools to perform web application reconnaissance

フェーズ2:インジェクションテスト

呼び出すスキル

  • sql-injection-testing - SQLインジェクション
  • sqlmap-database-pentesting - SQLMap

アクション

  1. SQLインジェクションをテストする
  2. NoSQLインジェクションをテストする
  3. コマンドインジェクションをテストする
  4. LDAPインジェクションをテストする
  5. 脆弱性を文書化する

コピー&ペーストプロンプト

Use @sql-injection-testing to test for SQL injection
Use @sqlmap-database-pentesting to automate SQL injection testing

フェーズ3:XSSテスト

呼び出すスキル

  • xss-html-injection - XSSテスト
  • html-injection-testing - HTMLインジェクション

アクション

  1. 反射型XSSをテストする
  2. 格納型XSSをテストする
  3. DOMベースXSSをテストする
  4. XSSフィルターをテストする
  5. 発見事項を文書化する

コピー&ペーストプロンプト

Use @xss-html-injection to test for cross-site scripting

フェーズ4:認証テスト

呼び出すスキル

  • broken-authentication - 認証テスト

アクション

  1. クレデンシャルスタッフィングをテストする
  2. ブルートフォース保護をテストする
  3. セッション管理をテストする
  4. パスワードポリシーをテストする
  5. MFAの実装をテストする

コピー&ペーストプロンプト

Use @broken-authentication to test authentication security

フェーズ5:アクセス制御テスト

呼び出すスキル

  • idor-testing - IDORテスト
  • file-path-traversal - パストラバーサル

アクション

  1. 垂直特権昇格をテストする
  2. 水平特権昇格をテストする
  3. IDORの脆弱性をテストする
  4. ディレクトリトラバーサルをテストする
  5. 不正アクセスをテストする

コピー&ペーストプロンプト

Use @idor-testing to test for insecure direct object references
Use @file-path-traversal to test for path traversal

フェーズ6:セキュリティヘッダー

呼び出すスキル

  • api-security-best-practices - セキュリティヘッダー

アクション

  1. CSPの実装を確認する
  2. HSTSの設定を検証する
  3. X-Frame-Optionsをテストする
  4. X-Content-Type-Optionsを確認する
  5. リファラーポリシーを検証する

コピー&ペーストプロンプト

Use @api-security-best-practices to audit security headers

フェーズ7:レポート作成

呼び出すスキル

  • reporting-standards - セキュリティレポート作成

アクション

  1. 脆弱性を文書化する
  2. リスクレベルを評価する
  3. 修正策を提供する
  4. 概念実証を作成する
  5. レポートを生成する

コピー&ペーストプロンプト

Use @reporting-standards to create security report

OWASP Top 10チェックリスト

  • [ ] A01: アクセス制御の不備
  • [ ] A02: 暗号化の失敗
  • [ ] A03: インジェクション
  • [ ] A04: 安全でない設計
  • [ ] A05: セキュリティ設定のミス
  • [ ] A06: 脆弱なコンポーネント
  • [ ] A07: 認証の失敗
  • [ ] A08: ソフトウェアとデータの整合性の不備
  • [ ] A09: ロギングと監視の失敗
  • [ ] A10: SSRF

品質ゲート

  • [ ] すべてのOWASP Top 10がテスト済み
  • [ ] 脆弱性が文書化済み
  • [ ] 概念実証が取得済み
  • [ ] 修正策が提供済み
  • [ ] レポートが生成済み

関連ワークフローバンドル

  • security-audit - セキュリティ監査
  • api-security-testing - APIセキュリティ
  • wordpress-security - WordPressセキュリティ

制限事項

  • このスキルは、タスクが上記の範囲と明確に一致する場合にのみ使用してください。
  • 出力を環境固有の検証、テスト、または専門家によるレビューの代わりとして扱わないでください。
  • 必要な入力、権限、安全境界、または成功基準が不足している場合は、停止して説明を求めてください。
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Web Security Testing Workflow

Overview

Specialized workflow for testing web applications against OWASP Top 10 vulnerabilities including injection attacks, XSS, broken authentication, and access control issues.

When to Use This Workflow

Use this workflow when:

  • Testing web application security
  • Performing OWASP Top 10 assessment
  • Conducting penetration tests
  • Validating security controls
  • Bug bounty hunting

Workflow Phases

Phase 1: Reconnaissance

Skills to Invoke

  • scanning-tools - Security scanning
  • top-web-vulnerabilities - OWASP knowledge

Actions

  1. Map application surface
  2. Identify technologies
  3. Discover endpoints
  4. Find subdomains
  5. Document findings

Copy-Paste Prompts

Use @scanning-tools to perform web application reconnaissance

Phase 2: Injection Testing

Skills to Invoke

  • sql-injection-testing - SQL injection
  • sqlmap-database-pentesting - SQLMap

Actions

  1. Test SQL injection
  2. Test NoSQL injection
  3. Test command injection
  4. Test LDAP injection
  5. Document vulnerabilities

Copy-Paste Prompts

Use @sql-injection-testing to test for SQL injection
Use @sqlmap-database-pentesting to automate SQL injection testing

Phase 3: XSS Testing

Skills to Invoke

  • xss-html-injection - XSS testing
  • html-injection-testing - HTML injection

Actions

  1. Test reflected XSS
  2. Test stored XSS
  3. Test DOM-based XSS
  4. Test XSS filters
  5. Document findings

Copy-Paste Prompts

Use @xss-html-injection to test for cross-site scripting

Phase 4: Authentication Testing

Skills to Invoke

  • broken-authentication - Authentication testing

Actions

  1. Test credential stuffing
  2. Test brute force protection
  3. Test session management
  4. Test password policies
  5. Test MFA implementation

Copy-Paste Prompts

Use @broken-authentication to test authentication security

Phase 5: Access Control Testing

Skills to Invoke

  • idor-testing - IDOR testing
  • file-path-traversal - Path traversal

Actions

  1. Test vertical privilege escalation
  2. Test horizontal privilege escalation
  3. Test IDOR vulnerabilities
  4. Test directory traversal
  5. Test unauthorized access

Copy-Paste Prompts

Use @idor-testing to test for insecure direct object references
Use @file-path-traversal to test for path traversal

Phase 6: Security Headers

Skills to Invoke

  • api-security-best-practices - Security headers

Actions

  1. Check CSP implementation
  2. Verify HSTS configuration
  3. Test X-Frame-Options
  4. Check X-Content-Type-Options
  5. Verify referrer policy

Copy-Paste Prompts

Use @api-security-best-practices to audit security headers

Phase 7: Reporting

Skills to Invoke

  • reporting-standards - Security reporting

Actions

  1. Document vulnerabilities
  2. Assess risk levels
  3. Provide remediation
  4. Create proof of concept
  5. Generate report

Copy-Paste Prompts

Use @reporting-standards to create security report

OWASP Top 10 Checklist

  • [ ] A01: Broken Access Control
  • [ ] A02: Cryptographic Failures
  • [ ] A03: Injection
  • [ ] A04: Insecure Design
  • [ ] A05: Security Misconfiguration
  • [ ] A06: Vulnerable Components
  • [ ] A07: Authentication Failures
  • [ ] A08: Software/Data Integrity
  • [ ] A09: Logging/Monitoring
  • [ ] A10: SSRF

Quality Gates

  • [ ] All OWASP Top 10 tested
  • [ ] Vulnerabilities documented
  • [ ] Proof of concepts captured
  • [ ] Remediation provided
  • [ ] Report generated

Related Workflow Bundles

  • security-audit - Security auditing
  • api-security-testing - API security
  • wordpress-security - WordPress security

Limitations

  • Use this skill only when the task clearly matches the scope described above.
  • Do not treat the output as a substitute for environment-specific validation, testing, or expert review.
  • Stop and ask for clarification if required inputs, permissions, safety boundaries, or success criteria are missing.