Back to Details

security-guidelines

Compare original and translation side by side

🇺🇸

Original

English
🇨🇳

Translation

Chinese

Security Guidelines

安全指南

IPA準拠のセキュリティ診断・レビュースキル。Laravel + Reactアプリケーションの実装時・レビュー時に11種類の脆弱性を診断し、安全なコード例を提供する。
符合IPA标准的安全诊断与评审技能。可在Laravel + React应用的实现与评审阶段诊断11种漏洞,并提供安全代码示例。

Overview

概述

このスキルは、IPAの「安全なウェブサイトの作り方 第7版」に基づき、以下の機能を提供する:
  1. 脆弱性診断: コードの脆弱性を11のカテゴリで検証
  2. 安全なコード例提供: Laravel/React固有の安全な実装パターン
  3. チェックリストベース検証: 実装漏れの防止
  4. ルール連携: 
    .claude/rules/security/
    と連携した包括的なガイダンス
重要: このスキルは 
.claude/rules/security/
のルールと協調動作する。rulesが「守るべき規約」を提供し、本スキルは「実行する診断ワークフロー」を提供する。
本技能基于IPA《安全网站制作指南 第7版》,提供以下功能:
  1. 漏洞诊断: 从11个类别验证代码漏洞
  2. 提供安全代码示例: Laravel/React专属的安全实现模式
  3. 基于检查表的验证: 防止实现遗漏
  4. 规则联动: 与.claude/rules/security/联动提供全面指导
重要: 本技能与.claude/rules/security/规则协同工作。rules提供“应遵循的规范”,本技能提供“可执行的诊断工作流”。

Diagnostic Workflow

诊断工作流

セキュリティ診断は以下のワークフローで実行する:
安全诊断按以下工作流执行:

Phase 1: Scope Identification

阶段1:范围识别

対象コードのスコープを特定:
  1. コード種別の判定
    • Backend (Laravel): Controller, UseCase, Repository, Model
    • Frontend (React): Component, Hook, Form
    • API: Endpoint, Middleware
  2. 関連する脆弱性カテゴリの特定
    • 入力処理 → SQLインジェクション、OSコマンド、ディレクトリトラバーサル
    • 出力処理 → XSS
    • フォーム → CSRF
    • 認証/認可 → セッション管理、アクセス制御
    • ファイル操作 → ディレクトリトラバーサル
    • HTTPレスポンス → HTTPヘッダインジェクション
确定目标代码的范围:
  1. 代码类型判定
    • 后端(Laravel): Controller、UseCase、Repository、Model
    • 前端(React): Component、Hook、Form
    • API: Endpoint、Middleware
  2. 关联漏洞类别识别
    • 输入处理 → SQL注入、OS命令注入、目录遍历
    • 输出处理 → XSS
    • 表单 → CSRF
    • 认证/授权 → 会话管理、访问控制
    • 文件操作 → 目录遍历
    • HTTP响应 → HTTP头注入

Phase 2: Vulnerability Analysis

阶段2:漏洞分析

特定されたカテゴリごとに診断:
診断方法:
  1. 該当する 
    references/*.md
    を読み込む
  2. 脆弱なパターンと照合
  3. 安全なパターンとの差分を特定
診断対象の11カテゴリ:
  • SQL Injection
  • OS Command Injection
  • Directory Traversal
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Session Management
  • HTTP Header Injection
  • Mail Header Injection
  • Clickjacking
  • Access Control (IDOR)
  • Authentication & Password Management
詳細は references/vulnerability-catalog.md を参照。
按识别出的类别逐一诊断:
诊断方法:
  1. 读取对应的
    references/*.md
    文件
  2. 与漏洞模式匹配
  3. 识别与安全模式的差异
诊断的11个类别:
  • SQL Injection
  • OS Command Injection
  • Directory Traversal
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Session Management
  • HTTP Header Injection
  • Mail Header Injection
  • Clickjacking
  • Access Control (IDOR)
  • Authentication & Password Management
详情请参考references/vulnerability-catalog.md

Phase 3: Report & Remediation

阶段3:报告与修复建议

診断結果をレポート:
レポート形式:
markdown
undefined
输出诊断结果报告:
报告格式:
markdown
undefined

セキュリティ診断結果

安全诊断结果

検出された問題

检测到的问题

[脆弱性名] (重要度: 高/中/低)

[漏洞名称](重要度:高/中/低)

問題箇所: [ファイルパス:行番号]
脆弱性の説明: [なぜ危険なのか]
現在のコード:
[脆弱なコード]
推奨される修正:
[安全なコード]
参考: references/[該当ファイル].md
undefined
问题位置: [文件路径:行号]
漏洞说明: [为何存在风险]
当前代码:
[存在漏洞的代码]
推荐修复方案:
[安全代码]
参考: references/[对应文件].md
undefined

Phase 4: Checklist Verification

阶段4:检查表验证

最終確認としてチェックリストを実行:
  1. references/checklist.md を読み込む
  2. 該当するカテゴリのチェックリストを確認
  3. 未実施項目があれば追加で指摘
最后执行检查表验证:
  1. 读取references/checklist.md
  2. 确认对应类别的检查表
  3. 若有未执行项目则额外指出

Quick Start

快速开始

コード実装時の使用

代码实现时的使用

「このログイン処理のセキュリティをチェックして」
→ セッション管理、CSRF、パスワード管理を診断
「请检查这个登录流程的安全性」
→ 诊断会话管理、CSRF、密码管理相关内容

コードレビュー時の使用

代码评审时的使用

「このPR全体のセキュリティレビューをして」
→ 変更されたファイルを分析し、関連する脆弱性を診断
「请对这个PR进行全面安全评审」
→ 分析变更文件,诊断相关漏洞

特定の脆弱性に対するチェック

针对特定漏洞的检查

「XSS対策ができているか確認して」
→ references/xss.md を参照して診断
「确认XSS防护是否到位」
→ 参考references/xss.md进行诊断

Vulnerability Categories

漏洞类别

11種類の脆弱性の詳細は、以下のreferencesファイルを参照:
11种漏洞的详情请参考以下references文件:

Injection Vulnerabilities

注入类漏洞

  • SQL Injection: See references/injection.md
  • OS Command Injection: See references/injection.md
  • Directory Traversal: See references/injection.md
  • SQL Injection: 参考references/injection.md
  • OS Command Injection: 参考references/injection.md
  • Directory Traversal: 参考references/injection.md

XSS Vulnerabilities

XSS漏洞

  • Cross-Site Scripting: See references/xss.md
    • Laravel/Blade XSS prevention
    • React XSS prevention
    • Content Security Policy (CSP)
  • Cross-Site Scripting: 参考references/xss.md
    • Laravel/Blade XSS防护
    • React XSS防护
    • Content Security Policy (CSP)

CSRF & Session

CSRF与会话

  • CSRF: See references/csrf-session.md
  • Session Management: See references/csrf-session.md
  • CSRF: 参考references/csrf-session.md
  • Session Management: 参考references/csrf-session.md

HTTP Header Vulnerabilities

HTTP头类漏洞

  • HTTP Header Injection: See references/http-headers.md
  • Mail Header Injection: See references/http-headers.md
  • Clickjacking: See references/http-headers.md
  • HTTP Header Injection: 参考references/http-headers.md
  • Mail Header Injection: 参考references/http-headers.md
  • Clickjacking: 参考references/http-headers.md

Access Control & Authentication

访问控制与认证

  • Access Control (IDOR): See references/access-control.md
  • Password Management: See references/access-control.md
  • Access Control (IDOR): 参考references/access-control.md
  • Password Management: 参考references/access-control.md

Comprehensive Checklist

综合检查表

  • Implementation Checklist: See references/checklist.md
  • 实现检查表: 参考references/checklist.md

Integration with Rules

与Rules的集成

このスキルは 
.claude/rules/security/
のルールと以下のように連携する:
RulesSkills
常にコンテキストに読み込まれる診断時にトリガーされる
「守るべき規約」を定義「実行する診断ワークフロー」を提供
静的なガイドライン動的な診断プロセス
コーディング時の参照レビュー時の実行
使い分け:
  • 実装中: Rules が自動的に適用される
  • レビュー時: このスキルを明示的に起動して診断を実行
本技能与.claude/rules/security/规则的联动方式如下:
RulesSkills
始终加载到上下文诊断时触发
定义“应遵循的规范”提供“可执行的诊断工作流”
静态指南动态诊断流程
编码时参考评审时执行
使用场景区分:
  • 实现中: Rules自动生效
  • 评审时: 明确启动本技能执行诊断

Best Practices

最佳实践

診断の優先順位

诊断优先级

高優先度 (重大な影響):
  1. SQL Injection
  2. XSS
  3. CSRF
  4. Access Control (IDOR)
  5. Session Management
中優先度 (重要): 6. OS Command Injection 7. Directory Traversal 8. Password Management
低優先度 (推奨): 9. HTTP Header Injection 10. Mail Header Injection 11. Clickjacking
高优先级(影响重大):
  1. SQL Injection
  2. XSS
  3. CSRF
  4. Access Control (IDOR)
  5. Session Management
中优先级(重要): 6. OS Command Injection 7. Directory Traversal 8. Password Management
低优先级(推荐): 9. HTTP Header Injection 10. Mail Header Injection 11. Clickjacking

診断の範囲

诊断范围

最小スコープ: 単一の関数/メソッド 推奨スコープ: 単一のファイルまたは機能 最大スコープ: Pull Request全体
注意: スコープが大きすぎる場合は、機能ごとに分割して診断することを推奨。
最小范围: 单个函数/方法 推荐范围: 单个文件或功能 最大范围: 整个Pull Request
注意: 若范围过大,建议按功能拆分后分别诊断。

False Positive の回避

避免误报

以下のケースでは誤検知を避ける:
  1. Laravel の標準機能を正しく使用している場合:
    • {{ }}
      によるエスケープ
    • @csrf
      ディレクティブ
    • Hash::make()
      によるパスワードハッシュ
    • Laravel Policy による認可チェック
  2. React の標準機能を正しく使用している場合:
    • JSX のデフォルトエスケープ
    • DOMPurify によるサニタイズ
これらが正しく使用されている場合は「✅ 安全」と判定する。
以下场景需避免误判:
  1. 正确使用Laravel标准功能时:
    • 使用
      {{ }}
      进行转义
    • 使用
      @csrf
      指令
    • 使用
      Hash::make()
      进行密码哈希
    • 使用Laravel Policy进行授权检查
  2. 正确使用React标准功能时:
    • JSX默认转义
    • 使用DOMPurify进行净化
上述情况判定为「✅ 安全」。

Resources

资源

references/

references/

脆弱性カテゴリごとの詳細資料:
  • vulnerability-catalog.md
    : 11種類の脆弱性の概要
  • injection.md
    : SQLインジェクション、OSコマンド、ディレクトリトラバーサル
  • xss.md
    : XSS対策(Laravel/React)
  • csrf-session.md
    : CSRF、セッション管理
  • http-headers.md
    : HTTPヘッダ系脆弱性
  • access-control.md
    : アクセス制御、認証、パスワード管理
  • checklist.md
    : 包括的な実装チェックリスト
各漏洞类别的详细资料:
  • vulnerability-catalog.md
    : 11种漏洞概述
  • injection.md
    : SQL注入、OS命令注入、目录遍历
  • xss.md
    : XSS防护(Laravel/React)
  • csrf-session.md
    : CSRF、会话管理
  • http-headers.md
    : HTTP头类漏洞
  • access-control.md
    : 访问控制、认证、密码管理
  • checklist.md
    : 综合实现检查表