Skill

fireauto-secure-guide

Audits code for security vulnerabilities including secret exposure, auth bypasses, missing rate limits, file uploads, storage issues, prompt injections, info leaks, and dependency CVEs using real SaaS patterns.

Next.js

npx claudepluginhub imgompanda/fireauto --plugin fireauto

Popularity

Parent stars

134

Parent forks

Invocation

How this skill is triggered — by the user, by Claude, or both

Slash command

/fireauto:fireauto-secure-guide

User invocable

Model invocable

Inline context

Default effort

Context Preview

The summary Claude sees in its skill listing — used to decide when to auto-load this skill

실제 SaaS 프로젝트에서 총 18개 취약점을 발견한 패턴을 기반으로 한 보안 감사 방법론.

Supporting Files

references/patterns.md

SKILL.md

73 lines · ~371 tokens

Similar Skills

owasp-security-check

Audits web applications and REST APIs for OWASP Top 10 vulnerabilities including broken access control, authentication failures, data protection, and configuration issues. Use when reviewing code, auth/authz, APIs, or before deployment.

asi

security-review

Scans codebases for OWASP Top 10 vulnerabilities via static analysis: secret exposure, injection flaws, auth/authz gaps, supply-chain risks, misconfigurations, logging failures. Use before deployments, PR merges, auth/payment changes.

claude-impl-tools

security-audit

Audits codebases for vulnerabilities, OWASP Top 10 issues, and security anti-patterns. Checks Claude Code file denial settings first and invokes security subagent.

7 tools

ai-security

Stats

LanguageJavaScript

Parent stars134

Parent forks35

MaintenanceExcellent

Last CommitApr 6, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

Stats

Actions

Help us improve

Share bugs, ideas, or general feedback.

보안 감사 방법론

실제 SaaS 프로젝트에서 총 18개 취약점을 발견한 패턴을 기반으로 한 보안 감사 방법론.

감사 8개 카테고리

환경변수/시크릿 노출 — .env 파일, 하드코딩된 키, NEXT_PUBLIC_ 오용
인증/인가 — 미인증 API, admin 클라이언트 남용, RLS 우회
Rate Limiting — AI/비용 발생 엔드포인트 보호
파일 업로드 — MIME 검증, 크기 제한, 위험 파일 차단
스토리지 보안 — 퍼블릭 버킷, URL 추측
Prompt Injection — 사용자 입력 직접 삽입
정보 노출 — 에러 상세, CSP 헤더
의존성 취약점 — npm audit, CVE

심각도 분류

심각도	기준
CRITICAL	즉시 조치. 데이터 유출, 인증 우회, 시크릿 노출
HIGH	빠른 조치. 서비스 장애, 비용 발생 가능
MEDIUM	계획적 조치. 특정 조건에서 악용 가능
LOW	개선 권장. 보안 강화 목적

핵심 검색 패턴

시크릿 노출

"sk-", "sk_live", "sk_test"           → API 키
"password.*=", "secret.*=", "token.*=" → 하드코딩
"NEXT_PUBLIC_.*SERVICE"                → 서비스 키 클라이언트 노출

인증 누락

API 라우트에서 아래 패턴이 없으면 인증 미적용:
"getSession", "getUser", "auth()", "cookies()"

Rate Limit 누락

AI 호출: "openai", "anthropic", "claude", "gpt"
같은 파일에 "ratelimit"이 없으면 취약

Prompt Injection

content: `...${userInput}...`
→ 시스템 프롬프트와 사용자 메시지가 분리되어야 함

우선순위 산정

우선순위 = 심각도 점수 × 구현 용이성

심각도: CRITICAL(4), HIGH(3), MEDIUM(2), LOW(1)
구현 용이성: 쉬움(3), 보통(2), 어려움(1)

커맨드

/fireauto-secure 실행으로 전체 보안 감사를 시작한다.

추가 리소스

상세 검색 패턴과 수정 가이드: references/patterns.md

fireauto-secure-guide

Popularity

Invocation

Context Preview

Supporting Files

SKILL.md

Similar Skills

Help us improve

Help us improve

Find plugins for your project

fireauto-secure-guide

Popularity

Invocation

Context Preview

Supporting Files

SKILL.md

보안 감사 방법론

감사 8개 카테고리

심각도 분류

핵심 검색 패턴

시크릿 노출

인증 누락

Rate Limit 누락

Prompt Injection

우선순위 산정

커맨드

추가 리소스

Similar Skills

Help us improve

보안 감사 방법론

감사 8개 카테고리

심각도 분류

핵심 검색 패턴

시크릿 노출

인증 누락

Rate Limit 누락

Prompt Injection

우선순위 산정

커맨드

추가 리소스