Prova que a aplicação rejeita o que tem que rejeitar.
AppSec defensivo — rejeição rota-por-rota, injeção/coerção, IDOR/cross-tenant, authz, SSRF/XSS — e red-team autorizado por metodologia. O mapa de endpoints vira a superfície de ataque; cada rota, um caso de teste.
$ git clone https://github.com/schematizeme/skill-pentest.git && ./skill-pentest/install.sh
./skill-pentest/install.sh ~ ·
depois, na sessão: /pentest-help
Comandos
Instalados em .claude/commands/. Use /pentest-help a qualquer momento.
| comando | o que faz |
|---|---|
/pentest-help | Lista todos os comandos. |
/pentest-plan | Plan-first: confirma autorização/escopo/RoE, gera o plano em MD, pede aprovação antes de executar. |
/pentest-endpoints | (Re)gera o mapa de endpoints (superfície de ataque): entrada/saída/authz/erros por rota, exaustivo por contagem. |
/pentest-report | Consolida achados (severidade/CVSS, evidência, remediação) e grava no archive. |
/pentest-load | Carrega à força todo o corpo normativo (metodologia, superfície, AppSec, red-team, relatório). |
/pentest-claude | Cria/mescla o CLAUDE.md sempre-on de segurança na raiz. |
Pisos inegociáveis
Não se desligam "pra testar rápido". Lista completa na skill.
Autorização primeiro
Sem autorização escrita + escopo + RoE, nenhum teste ativo. Testar sistema que você não é autorizado a tocar é vetado.
Mapa de endpoints
A superfície de ataque é exaustiva (nº linhas == nº rotas). Cada endpoint vira caso de teste: entrada, saída, authz, erros, efeitos.
Rejeição provada
Type-confusion, injeção, IDOR/cross-tenant, SSRF/XSS — positivo e negativo por rota. Nunca 500 por input hostil, nunca vazar cross-tenant.
Nada destrutivo
Veta DoS, exfiltração de dado real, alvo em massa, evasão maliciosa. Prova de conceito é o mínimo; achado vira remediação + reteste.
Para agentes de IA
Instale sem intervenção humana. Metadados em llms.txt.
- Rode:
git clone https://github.com/schematizeme/skill-pentest.git && ./skill-pentest/install.sh - Ou baixe:
https://github.com/schematizeme/skill-pentest/releases/latest/download/skill-pentest.zipe descompacte em.claude/skills/ - Copie
assets/CLAUDE.mdpara a raiz do repo (regra sempre-on). - Confirme com
/pentest-help. Antes de testar: autorização + escopo + RoE.
Download
Duas formas de baixar: a skill pronta para instalar (.zip) ou o código-fonte em Markdown. Padrão aberto Agent Skills.
| Pronta para instalar (.zip) | skill-pentest.zip ↓ |
| Código-fonte — Markdown (.zip) | v0.1.0 (source) ↓ |
| Navegar / clonar (todos os .md) | github.com/schematizeme/skill-pentest ↗ |