Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

wgpsec/java-auth-config-audit

Name: java-auth-config-audit
Author: wgpsec

skills/code-audit/java/java-auth-config-audit/SKILL.md

npx skillsauth add wgpsec/AboutSecurity java-auth-config-audit

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

Java 认证与配置安全源码审计

Java 后端项目中认证、授权与安全配置是最高频的漏洞产出面。本 skill 提供 6 大类白盒审计的完整检测思路，适用于 Spring Boot/Spring Security、Apache Shiro 及自定义框架。

深入参考

6 类漏洞详细模式（危险代码/安全代码/EVID 证据）-> references/auth-config-patterns.md

6 类风险速查表

| # | 类别 | 关键搜索入口 | 危害等级 | |---|------|-------------|---------| | 1 | 认证绕过 | SecurityConfig, ShiroFilterFactory, doFilter | 严重 | | 2 | 越权 | DAO/Mapper 查询语句, @PreAuthorize, Controller 参数 | 高 | | 3 | JWT 安全 | Jwts.parser(), Algorithm.HMAC, SECRET_KEY | 高 | | 4 | 加密配置 | MessageDigest, Cipher.getInstance, new Random() | 高 | | 5 | 信息泄露 | application.yml Actuator 配置, @ExceptionHandler | 中 | | 6 | 业务逻辑 | 余额/库存操作, 状态机流转, 支付回调 | 高 |

1. 认证绕过审计要点

Spring Security: 检查 FilterChainProxy 匹配规则，AntPathRequestMatcher 与 MvcRequestMatcher 差异（尾部斜杠/路径后缀）；requestMatchers 顺序——宽松规则 permitAll() 在前会覆盖后续拦截；permitAll() 是否过度开放（如 /api/**）
Shiro: URI 解析差异导致绕过——/admin/ vs /admin vs /admin/..;/；CVE-2020-1957 / CVE-2020-11989 / CVE-2020-13933 等 path normalization 系列绕过
自定义 Filter: doFilter() 中 early return 导致后续 chain 未执行；白名单正则不严谨（如 startsWith("/public") 可被 /publicevil 匹配）

2. 越权审计要点

水平越权: 接口仅校验登录态未校验资源归属——DAO 层 WHERE id = #{orderId} 缺少 AND user_id = #{currentUserId} 条件
垂直越权: Controller/Service 方法缺少角色注解 @PreAuthorize/@RequiresRoles；枚举值（角色 ID）可猜解
IDOR: 自增 ID 可遍历；UUID 是否真正不可预测；批量接口跳过单条权限检查

3. JWT 安全审计要点

算法混淆: alg: none 绕过签名验证；RS256 -> HS256 攻击（用公钥作为 HMAC 密钥）
密钥硬编码: 源码中 SECRET_KEY = "xxx" 或 application.yml 明文配置
Claims 校验缺失: exp(过期)/iss(签发者)/aud(受众) 未验证导致 token 可跨环境复用
刷新机制: refresh_token 长期有效且未绑定用户/设备，被盗后可无限刷新

4. 加密配置审计要点

弱算法: MD5/SHA1 做密码哈希、DES/RC4 加密、ECB 模式（泄露数据模式）
正确做法: 密码用 bcrypt/scrypt/argon2；对称加密用 AES-GCM/AES-CBC+HMAC
硬编码密钥/盐值: private static final String KEY = "..." 或盐值写死在代码中
不安全随机: java.util.Random 可预测，安全场景必须用 SecureRandom

5. 信息泄露审计要点

Actuator 端点暴露: /env(环境变量/密码)、/heapdump(堆内存含密钥)、/jolokia(远程代码执行)
详细错误堆栈: 全局异常处理器缺失，SQL 报错/类名/路径直接返回客户端
Debug 模式: server.error.include-stacktrace=always、spring.devtools 未移除
敏感数据日志: log.info("用户密码: {}", password) 或完整信用卡号写入日志文件

6. 业务逻辑审计要点

并发竞争: 余额检查与扣款非原子操作（double-spending）；优惠券/积分重放
参数篡改: 金额/数量/折扣由客户端传入且服务端未重新计算；订单金额可为负数
流程绕过: 多步流程（注册-验证-设置密码）步骤间缺少状态校验，可直接跳到后续接口

检测清单

审计时逐项确认，每发现一项即记录 EVID 证据:

[ ] Spring Security 配置链顺序问题或过度 permitAll
[ ] Shiro filterChainDefinitionMap URI 解析差异绕过
[ ] 自定义 Filter/Interceptor early return 或白名单绕过
[ ] 数据查询是否绑定当前用户 ID（水平越权）
[ ] 敏感接口是否有角色/权限注解（垂直越权）
[ ] JWT 是否强制指定算法 + 密钥安全存储 + Claims 全验证
[ ] 密码存储 bcrypt/scrypt/argon2; 对称加密 AES-GCM 且密钥不硬编码
[ ] 随机数使用 SecureRandom
[ ] Actuator 端点限制访问 + 认证保护
[ ] 全局异常处理器吞掉堆栈; 生产关闭 debug/devtools; 日志无敏感数据
[ ] 金额/库存操作原子性; 多步流程状态机校验

wgpsec/java-auth-config-audit

skills/code-audit/java/java-auth-config-audit/SKILL.md

Java 源码认证与配置安全审计。当在 Java 白盒审计中需要检测认证绕过、权限缺陷或安全配置问题时触发。覆盖 6 类风险: 认证绕过(Spring Security/Shiro Filter 链 URI 解析差异)、越权(IDOR/水平越权/垂直越权)、JWT 安全(算法混淆/密钥泄露/Claims 验证)、加密配置(弱算法/硬编码密钥/不安全随机数)、信息泄露(错误堆栈/Actuator/Debug 模式)、业务逻辑漏洞(竞争条件/金额篡改/流程绕过)。

1,178 stars

development

Updated Apr 22, 2026

$ install --global

skillsauth

npx skillsauth add wgpsec/AboutSecurity java-auth-config-audit

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Apr 22, 2026, 9:27 PM62.3s2 files scanned

SKILL.md

name:: java-auth-config-audit
description:: |
覆盖 6 类风险:: 认证绕过(Spring Security/Shiro Filter 链 URI 解析差异)、
tags:: authentication bypass, authorization, idor, jwt, shiro, spring security, 认证绕过, 越权, 加密配置, 信息泄露, actuator, 业务逻辑, java source audit
category:: code-audit

Java 认证与配置安全源码审计

深入参考

6 类漏洞详细模式（危险代码/安全代码/EVID 证据）-> references/auth-config-patterns.md

6 类风险速查表

1. 认证绕过审计要点

Spring Security: 检查 FilterChainProxy 匹配规则，AntPathRequestMatcher 与 MvcRequestMatcher 差异（尾部斜杠/路径后缀）；requestMatchers 顺序——宽松规则 permitAll() 在前会覆盖后续拦截；permitAll() 是否过度开放（如 /api/**）
Shiro: URI 解析差异导致绕过——/admin/ vs /admin vs /admin/..;/；CVE-2020-1957 / CVE-2020-11989 / CVE-2020-13933 等 path normalization 系列绕过
自定义 Filter: doFilter() 中 early return 导致后续 chain 未执行；白名单正则不严谨（如 startsWith("/public") 可被 /publicevil 匹配）

2. 越权审计要点

水平越权: 接口仅校验登录态未校验资源归属——DAO 层 WHERE id = #{orderId} 缺少 AND user_id = #{currentUserId} 条件
垂直越权: Controller/Service 方法缺少角色注解 @PreAuthorize/@RequiresRoles；枚举值（角色 ID）可猜解
IDOR: 自增 ID 可遍历；UUID 是否真正不可预测；批量接口跳过单条权限检查

3. JWT 安全审计要点

算法混淆: alg: none 绕过签名验证；RS256 -> HS256 攻击（用公钥作为 HMAC 密钥）
密钥硬编码: 源码中 SECRET_KEY = "xxx" 或 application.yml 明文配置
Claims 校验缺失: exp(过期)/iss(签发者)/aud(受众) 未验证导致 token 可跨环境复用
刷新机制: refresh_token 长期有效且未绑定用户/设备，被盗后可无限刷新

4. 加密配置审计要点

弱算法: MD5/SHA1 做密码哈希、DES/RC4 加密、ECB 模式（泄露数据模式）
正确做法: 密码用 bcrypt/scrypt/argon2；对称加密用 AES-GCM/AES-CBC+HMAC
硬编码密钥/盐值: private static final String KEY = "..." 或盐值写死在代码中
不安全随机: java.util.Random 可预测，安全场景必须用 SecureRandom

5. 信息泄露审计要点

Actuator 端点暴露: /env(环境变量/密码)、/heapdump(堆内存含密钥)、/jolokia(远程代码执行)
详细错误堆栈: 全局异常处理器缺失，SQL 报错/类名/路径直接返回客户端
Debug 模式: server.error.include-stacktrace=always、spring.devtools 未移除
敏感数据日志: log.info("用户密码: {}", password) 或完整信用卡号写入日志文件

6. 业务逻辑审计要点

并发竞争: 余额检查与扣款非原子操作（double-spending）；优惠券/积分重放
参数篡改: 金额/数量/折扣由客户端传入且服务端未重新计算；订单金额可为负数
流程绕过: 多步流程（注册-验证-设置密码）步骤间缺少状态校验，可直接跳到后续接口

检测清单

审计时逐项确认，每发现一项即记录 EVID 证据:

[ ] Spring Security 配置链顺序问题或过度 permitAll
[ ] Shiro filterChainDefinitionMap URI 解析差异绕过
[ ] 自定义 Filter/Interceptor early return 或白名单绕过
[ ] 数据查询是否绑定当前用户 ID（水平越权）
[ ] 敏感接口是否有角色/权限注解（垂直越权）
[ ] JWT 是否强制指定算法 + 密钥安全存储 + Claims 全验证
[ ] 密码存储 bcrypt/scrypt/argon2; 对称加密 AES-GCM 且密钥不硬编码
[ ] 随机数使用 SecureRandom
[ ] Actuator 端点限制访问 + 认证保护
[ ] 全局异常处理器吞掉堆栈; 生产关闭 debug/devtools; 日志无敏感数据
[ ] 金额/库存操作原子性; 多步流程状态机校验

Related Skills

wgpsec/azure-pentesting

testing

VerifiedTrustedCommunity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

1,393SKILL.mdUpdated Apr 24, 2026

wgpsec/azure-pentesting

wgpsec/mythic-c2

tools

VerifiedTrustedCommunity

Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务，或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

development

VerifiedTrustedCommunity

Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle

development

VerifiedTrustedCommunity

使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文，适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能

1,345SKILL.mdUpdated May 6, 2026

wgpsec/padbuster-padding-oracle

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/wgpsec/AboutSecurity.git

# Copy into Claude Code skills folder (global)
cp -r AboutSecurity/skills/code-audit/java/java-auth-config-audit ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

wgpsec/AboutSecurity

1,178 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT

Adoption

wgpsec/java-auth-config-audit

$ install --global

Security Scan Results

SKILL.md

Java 认证与配置安全源码审计

相关 Skill

深入参考

6 类风险速查表

1. 认证绕过审计要点

2. 越权审计要点

3. JWT 安全审计要点

4. 加密配置审计要点

5. 信息泄露审计要点

6. 业务逻辑审计要点

检测清单

Related Skills

wgpsec/azure-pentesting

wgpsec/mythic-c2

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle

wgpsec/java-auth-config-audit

$ install --global

Security Scan Results

SKILL.md

Java 认证与配置安全源码审计

相关 Skill

深入参考

6 类风险速查表

1. 认证绕过审计要点

2. 越权审计要点

3. JWT 安全审计要点

4. 加密配置审计要点

5. 信息泄露审计要点

6. 业务逻辑审计要点

检测清单

Related Skills

wgpsec/azure-pentesting

wgpsec/mythic-c2

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle