【一个渗透测试专家的警告:Claude正在犯我每天都能利用的安全漏洞】
过去五年,我以黑进Web应用为生。作为渗透测试员和漏洞赏金猎人,我测试过数百个目标,发现过数百个漏洞,从简单的XSS到被Google支付超过2.8万美元的高危漏洞。
当我开始用Claude进行氛围编程时,有件事真的让我后背发凉:Claude犯的错误,和我每天在生产环境中利用的漏洞一模一样。
它会添加CSRF保护,却忘了验证token是否真的存在。它会对用户输入做净化处理,却漏掉那个让我能弹出XSS的边缘情况。这些不是假设场景,这些就是我靠它们拿钱的真实漏洞。
所以我做了一个决定:把我整套渗透测试方法论,那个我在挖洞时脑子里跑的完整检查清单,转化成了一个Claude技能包。
核心思路很简单:强迫Claude像攻击者一样思考,而不只是像开发者。
这个技能包专门针对氛围编程应用中的常见漏洞,包括密钥泄露、访问控制问题、XSS和CSRF的边缘情况。每个部分都包含需要保护什么、攻击者如何绑过弱防护、应该使用的代码模式,以及Claude可以遵循的检查清单。
社区反馈让我很欣慰。有人在一个相当大的代码库上跑了一遍,抓到了几个严重漏洞和一堆中低危问题。也有人提出了很好的补充建议,比如文件上传场景中的路径遍历问题,Claude会检查扩展名却不验证文件内容是否匹配。还有人指出Claude倾向于在路由层面实现授权,却在辅助函数和内部API调用中完全忘记所有权验证,这是典型的IDOR漏洞温床。
有个问题被反复讨论:为什么要用UUID而不是顺序ID?答案是防止枚举攻击。如果你的用户ID是100,攻击者就知道数据库里至少有100个用户,顺序ID让数据抓取变得轻而易举。我们应该为韧性而优化,即使漏洞被发现,架构本身也应该阻止它变成可利用的攻击。
有人问我为什么要公开这些,这不是在自动化自己的工作吗?我的想法是,如果这能帮助哪怕几个人避免被脚本小子攻破,就值了。
安全领域有个残酷的现实:达到中等水平需要适度的努力,但在那个阶段你可能造成的伤害比贡献更大。真正能做出正向贡献,需要投入巨大的时间和精力。
项目开源在GitHub上,欢迎使用和反馈。如果你是安全专家想要贡献,PR随时开放。
GitHub:github.com/BehiSecc/VibeSec-Skill
www.reddit.com/r/ClaudeAI/comments/1qukwby/i_hack_web_apps_for_a_living_heres_how_i_stop/
