Toolverse
All skills
Testing

xpath-injection-testing

by Ed1s0nZ

XPath注入漏洞测试的专业技能和方法论

Installation

Pick a client and clone the repository into its skills directory.

Installation

Quick info

Author
Ed1s0nZ
Category
Testing
Views
1
GitHub repo

About this skill

XPath注入漏洞测试的专业技能和方法论

How to use

  1. Zainstaluj umiejętność xpath-injection-testing w swoim środowisku agenta bezpieczeństwa, upewniając się że masz dostęp do dokumentacji XPath i przykładów podatnego kodu.

  2. Zidentyfikuj punkty wejścia podatne na XPath injection w testowanej aplikacji — szukaj funkcji logowania, wyszukiwania, zapytań do XML-a lub konfiguracji, gdzie dane użytkownika mogą być wstawiane bezpośrednio do zapytań XPath.

  3. Przeprowadź testy podstawowe, wstrzykując znaki specjalne takie jak apostrof, cudzysłów i operatory logiczne (or, and) — na przykład spróbuj wpisać "' or '1'='1" w pole logowania, aby sprawdzić czy aplikacja prawidłowo waliduje dane.

  4. Testuj scenariusze obejścia autentykacji, używając wektorów takich jak "admin' or '1'='1" w polu nazwy użytkownika — obserwuj czy system zwraca dane wszystkich użytkowników zamiast sprawdzać hasło.

  5. Jeśli aplikacja jest odporna na proste ataki, przejdź do boolean blind injection — wstrzykuj zapytania z funkcjami substring() i count() aby stopniowo wyciągać dane znakowe po znaku, na przykład "' or substring(//user[1]/username,1,1)='a' or '".

  6. Dokumentuj wszystkie znalezione podatności, zaproponuj poprawki takie jak parametryzowane zapytania XPath lub walidacja i filtrowanie danych wejściowych, oraz zweryfikuj że aplikacja nie łączy bezpośrednio danych użytkownika z wyrażeniami XPath.

Related skills

ppt-creator

by daymade

Create professional slide decks from topics or documents. Generates structured content with data-driven charts, speaker notes, and complete PPTX files. Applies persuasive storytelling principles (Pyramid Principle, assertion-evidence). Supports multiple formats (Marp,

Testing
2739

nextjs-developer

by zenobi-us

Expert Next.js developer mastering Next.js 14+ with App Router and full-stack features. Specializes in server components, server actions, performance optimization, and production deployment with focus on building fast, SEO-friendly applications.

Testing
166226

lean4-theorem-proving

by cameronfreer

Use when developing Lean 4 proofs, facing type class synthesis errors, managing sorries/axioms, or searching mathlib - provides build-first workflow, instance management patterns (haveI/letI), and domain-specific tactics

Testing
9108

creating-financial-models

by anthropics

This skill provides an advanced financial modeling suite with DCF analysis, sensitivity testing, Monte Carlo simulations, and scenario planning for investment decisions

Testing
25137

differential-review

by trailofbits

Performs security-focused differential review of code changes (PRs, commits, diffs). Adapts analysis depth to codebase size, uses git history for context, calculates blast radius, checks test coverage, and generates comprehensive markdown reports. Automatically detects and

Testing
2510

test-cases

by cexll

This skill should be used when generating comprehensive test cases from PRD documents or user requirements. Triggers when users request test case generation, QA planning, test scenario creation, or need structured test documentation. Produces detailed test cases covering

Testing
2862