afrexai-cybersecurity-engineSkill afrexai-cybersecurity-engine

SkillsBot

⚡

afrexai-cybersecurity-engineSkill afrexai-cybersecurity-engine

这是一个全面的网络安全评估工具，包含了从安全审计、威胁建模、渗透测试到事件响应等多个阶段的详细步骤和方法。关键词包括：安全审计、威胁建模、渗透测试、事件响应、安全程序设计。

0 次安装 0 次浏览更新于 2/24/2026

Cybersecurity Engine

完整的网络安全评估、威胁建模和加固系统。在进行安全审计、威胁建模、渗透测试、事件响应或从头开始构建安全程序时使用。适用于任何技术栈——零外部依赖。

第1阶段：安全姿态评估

快速健康检查（5分钟）

运行这三个层级：

第1层级 — 严重（今天修复）：

[ ] 生产环境中的默认凭据
[ ] 将机密信息提交到git的源代码或环境文件中
[ ] 管理端点没有认证
[ ] 用户面向表单的SQL注入
[ ] 未加密的敏感数据
[ ] 公开的S3存储桶或云存储
[ ] 没有HTTPS强制执行
[ ] 根/管理员运行应用程序进程

第2层级 — 高（本周修复）：

[ ] 已知CVEs的依赖项（CVSS ≥ 7.0）
[ ] 认证端点没有速率限制
[ ] 缺少CSRF保护的状态更改操作
[ ] 泄露堆栈跟踪的详细错误消息
[ ] API端点没有输入验证
[ ] 弱密码策略（< 12个字符，没有复杂性）
[ ] 会话令牌在URL参数中
[ ] 没有记录认证事件的日志

第3层级 — 中（这个冲刺修复）：

[ ] 缺少安全头部（CSP、HSTS、X-Frame-Options）
[ ] CI中没有自动化依赖项扫描
[ ] 服务账户权限过高
[ ] 没有秘密轮换政策
[ ] 缺少账户锁定策略
[ ] 没有security.txt或负责任的披露政策
[ ] 没有Secure/HttpOnly/SameSite标志的Cookie

得分： 计算失败次数。0-2 = 稳固。3-5 = 需要工作。6+ = 停止功能发货，修复安全。