ealmeida/claude-plugins
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
claude-plugins/infraestrutura/skills/security-audit/SKILL.md
Emanuel Almeida 6b3a6f2698 feat: refactor 30+ skills to Anthropic progressive disclosure pattern 
- All SKILL.md files now <500 lines (avg reduction 69%)
- Detailed content extracted to references/ subdirectories
- Frontmatter standardised: only name + description (Anthropic standard)
- New skills: brand-guidelines, spec-coauthor, report-templates, skill-creator
- Design skills: anti-slop guidelines, premium-proposals reference
- Removed non-standard frontmatter fields (triggers, version, author, category)

Plugins affected: infraestrutura, marketing, dev-tools, crm-ops, gestao,
core-tools, negocio, perfex-dev, wordpress, design-media

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-03-12 15:05:03 +00:00

4.6 KiB
Raw Permalink Blame History

name, description
name description
security-audit Auditoria de seguranca para aplicacoes web e servidores -- identificacao de vulnerabilidades, verificacao OWASP/GDPR e recomendacoes de hardening.

/security-audit - Security Compliance Specialist

Auditoria de seguranca seguindo padroes OWASP Top 10, GDPR e best practices Descomplicar.

Quando usar

  • Auditar codigo para vulnerabilidades
  • Verificar configuracoes de seguranca servidor
  • Avaliar compliance GDPR/ISO
  • Security review de aplicacoes
  • Analise de logs de seguranca
  • Pentest basico (ethical hacking)
  • Hardening de servidor/aplicacao

Protocolo obrigatorio

1. Pesquisa inicial (SEMPRE)

// Antes de qualquer audit, consultar historico
await mcp__memory-supabase__search_memories({
  query: "security vulnerabilidade [sistema/projecto]",
  limit: 5
});

2. Verificar contexto

  • Vulnerabilidades anteriores no sistema
  • Incidentes de seguranca passados
  • Politicas de seguranca existentes
  • Compliance requirements (GDPR, ISO, etc.)
  • Stack tecnologico e versoes

Workflow principal

Passo 1: OWASP Top 10

Executar checklist completa por categoria. Ver detalhes e exemplos de codigo em:

-> references/owasp-checklist.md

Resumo das 10 categorias:

# Categoria Foco principal
A01 Broken Access Control IDOR, RBAC, path traversal
A02 Cryptographic Failures bcrypt, HTTPS, cookies seguras
A03 Injection SQL, command, template injection
A04 Insecure Design Rate limiting, MFA, session timeout
A05 Security Misconfiguration Headers, directory listing, ficheiros expostos
A06 Vulnerable Components Dependencias desactualizadas, CVEs
A07 Auth Failures Session fixation, user enum, lockout
A08 Data Integrity Deserialization, SRI, CI/CD
A09 Logging Failures Logs de acesso, retencao, alertas
A10 SSRF Whitelist de dominios, validacao URL

Passo 2: Classificar findings

Severidade Score CVSS Prazo correcao
Critico 9-10 Imediato (<24h)
Alto 7-8.9 24-48h
Medio 4-6.9 7 dias
Baixo 1-3.9 30 dias

Calculo CVSS v3: https://www.first.org/cvss/calculator/3.1

Passo 3: Gerar relatorio

Usar template completo com findings, compliance OWASP, GDPR e plano de remediacao:

-> references/report-template.md

O template inclui:

  • Executive summary com score global
  • Findings por severidade (com evidencia e remediacao)
  • Tabela OWASP Top 10 compliance
  • Checklist GDPR completo (consentimento, direitos, seguranca, documentacao)
  • Ferramentas SAST/DAST utilizadas
  • Hardening checklists (Linux, Web Server, PHP, MySQL)

Passo 4: Hardening (se aplicavel)

Aplicar correcoes seguindo checklists em references/report-template.md (seccao Hardening).

Ferramentas rapidas

# Headers HTTP
curl -I https://site.com | grep -E "X-|Content-Security|Strict-Transport"

# SSL Labs
curl "https://api.ssllabs.com/api/v3/analyze?host=site.com"

# Dependencias PHP
composer audit

# Dependencias Node
npm audit

# WordPress
wpscan --url https://site.com --api-token YOUR_TOKEN

Contexto NotebookLM

Consultar ANTES de executar para contexto especializado:

Notebook ID Consultar quando
Ciberseguranca WordPress 5f60adfd-2435-4725-8c12-9c11c5f51d75 Sempre 
mcp__notebooklm__notebook_query({
  notebook_id: "5f60adfd-2435-4725-8c12-9c11c5f51d75",
  query: "<adaptar ao contexto de auditoria>"
})

Anti-patterns

Anti-pattern Problema Solucao
Auditar sem historico Repetir trabalho Consultar memoria primeiro
Ignorar severidade Tudo parece urgente Classificar com CVSS
Relatorio sem evidencia Nao accionavel Incluir PoC e remediacao
Expor credenciais Fuga de dados Mascarar PII no relatorio
Auditar parcialmente Falsa seguranca OWASP Top 10 completo

Confidencialidade

  • Nunca expor credenciais em relatorios
  • Mascarar dados sensiveis (email: *****@domain.com)
  • Restringir relatorios a stakeholders autorizados
  • Eliminar ficheiros temporarios apos analise

Ficheiros de referencia

Ficheiro Conteudo
references/owasp-checklist.md OWASP Top 10 detalhado com codigo vulneravel vs seguro e testes
references/report-template.md Template relatorio, GDPR checklist, ferramentas SAST/DAST, hardening checklists
Reference in New Issue View Git Blame Copy Permalink