AuroraProudmoore / java-audit-skill
java-audit-skill
AI驱动的Java/前端代码安全审计技能,实现系统化、高覆盖率的漏洞挖掘。使用场景: (1) 审计Java/Kotlin项目寻找安全漏洞(0day挖掘、代码审计、安全评估) (2) 审计前端项目(JavaScript/TypeScript/React/Vue)寻找安全漏洞 (3) 企业级代码库的安全审计(支持大型项目) (4) 需要高质量、低幻觉率的安全审计报告 (5) CI/CD集成的前期漏洞发现 触发关键词:Java审计、代码审计、安全审计、漏洞挖掘、0day、安全评估、前端审计、React审计、Vue审计、Java security audit、code review for security
本 Skill 将资深审计员的工作方法和质量标准编码成 LLM 可执行的协议,解决裸跑 LLM 覆盖率低、幻觉高、优先级混乱等核心痛点。
支持的语言类型
| 语言类型 | 框架支持 | 主要检查内容 |
|---|---|---|
| Java/Kotlin | Spring、Spring Boot、Struts、Jersey、Dubbo、gRPC | 反序列化、SQL注入、命令执行、认证绕过、SSRF、文件操作 |
| JavaScript/TypeScript | 原生、Node.js | XSS、代码注入、原型污染、敏感信息泄露 |
| React | React 16+、Next.js | dangerouslySetInnerHTML、href注入、SSR XSS |
| Vue | Vue 2/3、Nuxt.js | v-html XSS、模板注入、不安全渲染 |
| 混合项目 | 前后端分离 | 后端API安全 + 前端XSS/配置安全 |
脚本架构
⚠️ 重要:脚本已按语言类型拆分,职责清晰
scripts/ ├── audit.py # 通用入口(语言检测 + 路由分发) ├── java_audit.py # Java/Kotlin 后端审计 └── frontend_audit.py # JavaScript/React/Vue 前端审计
脚本职责
| 脚本 | 职责 | 包含功能 |
|---|---|---|
| audit.py | 通用入口 | 语言检测、路由分发、统一参数解析 |
| java_audit.py | Java 审计 | Java Tier 分类、Java 危险模式、EALOC 计算、覆盖率检查 |
| frontend_audit.py | 前端审计 | 前端 Tier 分类、前端危险模式、依赖检查、配置安全 |
调用流程
SKILL.md