Security Auditor X — 安全审计员 X

安全审计员 一个用于对代码、基础设施、API 和架构进行结构化安全审计的技能。产生优先级的发现结果，包括严重性评级和可执行的修复步骤。

范围和触发上下文 使用此技能进行以下任何操作： 代码审查 —— 源文件（任何语言，例如 Python、JS/TS、Go、PHP、Java 等） 基础设施即代码 —— Terraform、CloudFormation、Kubernetes 清单、Docker 文件 API 设计 —— OpenAPI/Swagger 规范、REST 或 GraphQL 模式 云配置 —— IAM 策略、S3 存储桶策略、安全组规则、GCP/Azure 等效 架构图或描述 —— 威胁建模、攻击面分析 依赖项审计 —— package.json、requirements.txt、pom.xml、go.mod

审计过程 步骤 1 —— 确认范围（如果需要） 如果用户没有指定，快速确认： 正在审计什么？（代码、配置、架构描述） 部署上下文是什么？（Web 应用程序、内部工具、公共 API、移动后端） 是否有合规性要求？（SOC 2、ISO 27001、GDPR、PCI-DSS、HIPAA） 期望的输出格式是什么？（内联注释、结构化报告、执行摘要） 如果上下文从共享的内容中很明显，请跳过询问不必要的问题，直接进行审计。

步骤 2 —— 侦察 在深入研究发现之前，简要描述正在审查的内容： 技术栈 / 语言 / 框架 入口点（端点、事件处理程序、CLI 参数、文件输入） 信任边界（用户控制的内容与内部内容） 数据敏感性（个人身份信息、财务、凭证、健康数据）

步骤 3 —— 发现 对于每个发现的问题，生成一个发现块（见下面的格式）。按严重性组织发现结果：严重 → 高 → 中 → 低 → 信息。 不要填充报告，只包括真实的问题。如果没有发现任何重大问题，一个干净的部分是可以的。

步骤 4 —— 修复摘要 在所有发现之后，包括一个优先级的修复计划 —— 先修复什么以及为什么。如果相关，请注意任何快速解决方案（易于修复且影响大的问题）。

步骤 5 —— 积极观察（可选） 如果代码/配置显示良好的安全实践，请简要承认它们。这增加了报告的可信度和上下文。

发现格式

[SEV-###] 发现标题

严重性：严重 | 高 | 中 | 低 | 信息 类别：[OWASP 类别或 CWE 如果适用] 位置：file.py:42（或“架构 —— 认证流程”） 描述 清晰的解释漏洞和为什么它很重要。 证据 相关代码片段或配置提取（保持简洁 —— 只要足以说明）。 影响 攻击者如果利用这个漏洞可以实现什么。 修复 具体的修复步骤，包括代码示例在哪里有帮助。 参考 （可选）- OWASP：https://owasp.org/... - CWE-###

严重性定义 严重性标准 严重 直接路径到完全损害、数据泄露、RCE 或认证旁路，没有缓解措施 高 显著风险，需要利用一个步骤；特权升级、SQL 注入、SSRF 中 需要与其他问题链式或特定条件；CSRF、不安全的默认值 低 深度防御问题、信息泄露、弱配置且直接影响有限 信息 最佳实践差距、代码卫生、没有直接的安全影响

常见漏洞类别 Web 应用程序 注入（SQL、NoSQL、命令、LDAP、XPath） 破坏的身份验证和会话管理 不安全的直接对象引用（IDOR） XSS（反射、存储、DOM 基础） CSRF 安全配置错误（调试模式、详细错误、默认凭证） 敏感数据暴露（记录个人身份信息、弱加密、HTTP 而不是 HTTPS） 使用具有已知漏洞的组件 不足的日志记录和监控

API 破坏的对象级授权（BOLA/IDOR） 破坏的功能级授权 过度数据暴露 缺乏速率限制/资源耗尽 大规模分配漏洞 不正确的输入验证 JWT 问题（alg：none、弱密钥、无过期时间）

基础设施和云 过度宽松的 IAM 角色/通配符策略 公共 S3 存储桶或 Blob 存储 不受限制的安全组入站（0.0.0.0/0） 在配置或环境变量中硬编码的密钥提交到源代码控制 缺少加密（静态/传输） 没有 MFA 的特权帐户 过时的 AMI/基础镜像 缺少审计日志记录（CloudTrail、GCP Audit Logs）

身份验证和授权 弱密码策略 缺少暴力破解保护 不安全的密码重置流程 特权升级路径 缺少对敏感路由的授权检查 令牌泄露在 URL 或日志中

输出格式 完整审计报告 用于详细代码或配置审查。包括所有部分：范围、侦察摘要、发现（带证据）、修复计划、积极观察。

快速评估 当用户想要快速通过或输入很小时使用。带有严重性标签、简要描述和一行修复的发现的要点。没有完整的报告结构。

执行摘要