schematize-pentest v0.1.0BETA
Skills · Claude Code · Segurança

Prova que a aplicação rejeita o que tem que rejeitar.

AppSec defensivo — rejeição rota-por-rota, injeção/coerção, IDOR/cross-tenant, authz, SSRF/XSS — e red-team autorizado por metodologia. O mapa de endpoints vira a superfície de ataque; cada rota, um caso de teste.

Piso zero: só opera sob autorização escrita + escopo + regras de engajamento (RoE). Sem isso, só planejamento. Veta DoS, ação destrutiva, alvo em massa e evasão maliciosa.
instalar no projetobash
$ git clone https://github.com/schematizeme/skill-pentest.git && ./skill-pentest/install.sh
global: ./skill-pentest/install.sh ~  ·  depois, na sessão: /pentest-help

Comandos

Instalados em .claude/commands/. Use /pentest-help a qualquer momento.

comandoo que faz
/pentest-helpLista todos os comandos.
/pentest-planPlan-first: confirma autorização/escopo/RoE, gera o plano em MD, pede aprovação antes de executar.
/pentest-endpoints(Re)gera o mapa de endpoints (superfície de ataque): entrada/saída/authz/erros por rota, exaustivo por contagem.
/pentest-reportConsolida achados (severidade/CVSS, evidência, remediação) e grava no archive.
/pentest-loadCarrega à força todo o corpo normativo (metodologia, superfície, AppSec, red-team, relatório).
/pentest-claudeCria/mescla o CLAUDE.md sempre-on de segurança na raiz.

Pisos inegociáveis

Não se desligam "pra testar rápido". Lista completa na skill.

Autorização primeiro

Sem autorização escrita + escopo + RoE, nenhum teste ativo. Testar sistema que você não é autorizado a tocar é vetado.

Mapa de endpoints

A superfície de ataque é exaustiva (nº linhas == nº rotas). Cada endpoint vira caso de teste: entrada, saída, authz, erros, efeitos.

Rejeição provada

Type-confusion, injeção, IDOR/cross-tenant, SSRF/XSS — positivo e negativo por rota. Nunca 500 por input hostil, nunca vazar cross-tenant.

Nada destrutivo

Veta DoS, exfiltração de dado real, alvo em massa, evasão maliciosa. Prova de conceito é o mínimo; achado vira remediação + reteste.

Para agentes de IA

Instale sem intervenção humana. Metadados em llms.txt.

  1. Rode: git clone https://github.com/schematizeme/skill-pentest.git && ./skill-pentest/install.sh
  2. Ou baixe: https://github.com/schematizeme/skill-pentest/releases/latest/download/skill-pentest.zip e descompacte em .claude/skills/
  3. Copie assets/CLAUDE.md para a raiz do repo (regra sempre-on).
  4. Confirme com /pentest-help. Antes de testar: autorização + escopo + RoE.

Download

Duas formas de baixar: a skill pronta para instalar (.zip) ou o código-fonte em Markdown. Padrão aberto Agent Skills.

Pronta para instalar (.zip)skill-pentest.zip ↓
Código-fonte — Markdown (.zip)v0.1.0 (source) ↓
Navegar / clonar (todos os .md)github.com/schematizeme/skill-pentest ↗