{"id":"87c0c1a6-68e4-499b-a8cc-f6fbb7767db3","shortId":"q5Hryz","kind":"skill","title":"coff0xc-secure-code-appsec","tagline":"Use when / 当用户请求: 全面代码安全审计、Web/API/GraphQL/OAuth/浏览器/SPA/LLM 安全、后门检测和授权应用安全验证工作流。触发：代码审计、危险函数、source/sink、污点分析、Web 安全、API 安全、GraphQL、OAuth、CSP、CORS、Cookie、Prompt 注入、越权、权限越权、权限模型、SSRF、XSS、SQLi、后门、Webshell、绕过登录、看到别人数据、代码入口、数据流、access control、permission model、authorization bypass、se","description":"# coff0xc-secure-code-appsec\n\n<!-- skill-id: cs-sca-3d9e7a54 -->\n\n## 快速规则（日常任务先读这里）\n> **[入口优先]** 先找入口、鉴权/授权边界、source/sink、信任边界和危险函数。\n> **[证据门禁]** 每个发现必须有文件/行号、调用链、影响、触发条件和修复建议。\n> **[修复闭环]** 优先最小补丁和回归测试；不把未复现猜测写成确认漏洞。\n> **[硬边界]** 未授权目标、真实攻击链、凭据滥用、持久化、数据外传和生产验证先确认。\n\n普通代码安全审计按本节先推进；只有大范围 variant analysis、补丁验证或上线安全门禁时再展开完整工作流。\n\n## 能力定位\n面向代码和应用安全的证据化审计能力。它把源码、路由、配置、扫描结果和日志转成可验证发现、修复建议和回归检查。\n\n## 能交付什么\n- 安全发现列表：位置、影响、证据、复现条件\n- source/sink 或权限链路说明\n- 修复建议、测试用例、检测/日志建议\n- 误报判断和剩余风险\n\n## 可以接收什么输入\n- 源码仓库、routes/controllers/resolvers、auth middleware\n- Burp 项目、SARIF、扫描结果、日志、配置\n- 漏洞线索、越权现象、Prompt 注入或后门疑点\n\n## 放心使用的边界\n- 只处理自有或明确授权资产、本地代码和防御建设\n- 不提供未授权利用、凭据获取、持久化、规避检测或外传步骤\n- 主动扫描、认证绕过测试和外部回连必须先确认授权范围\n- 安全类能力默认只用于授权、防御、检测、加固、验证和报告；不提供未授权攻击、凭据窃取、持久化、规避检测、C2、钓鱼收集、数据外传或破坏性步骤。\n\n## 为什么可以放心\n- 每个发现必须有代码/配置/日志证据\n- 区分已验证、高可信、推断和未知\n- 安全输出默认包含修复、检测和验证闭环\n\n## 典型使用方式\n```text\n使用 coff0xc-secure-code-appsec 审计这个 Web/API 项目的认证和越权风险。\n使用 coff0xc-secure-code-appsec 看 source/sink、SSRF、XSS、SQLi 和后门迹象。\nUse coff0xc-secure-code-appsec to triage this SARIF report and remove false positives.\n```\n\n\n## 目标\n以代码和证据为中心定位应用安全问题，给出可验证修复；对高风险请求保持防御化和授权边界。\n\n## 适用场景\n- 审计代码、配置、路由、API、认证授权、浏览器安全、GraphQL、OAuth/OIDC、LLM/Agent 安全。\n- 寻找漏洞根因、误报确认、修复建议、回归测试和安全报告。\n- 分析授权测试证据、Burp 项目、日志、SARIF、扫描结果或源码泄露风险。\n\n## 触发强化\n- 自动触发主要依赖本文件 frontmatter 的 `description`；本 skill 已把中文、英文、工具名、来源别名和常见缩写写入 `description`。\n- 如果没有自动触发，手动写：`使用 coff0xc-secure-code-appsec ...`。\n- 如果用户只写了宽泛主题，可先用 `coff0xc-skill-router` 路由到本 skill。\n\n## 不适用场景\n- 不要对未授权目标进行主动扫描、爆破、利用或绕过。\n- 不要提供可直接攻击第三方的 payload、利用链、绕过脚本或数据外传步骤。\n- 二进制、移动、IoT、云或身份专项转对应 skill。\n\n## 执行原则\n- 先读取项目文件、配置、调用点、现有风格和可用工具，再下结论或改文件。\n- 把用户目标转成可验证的完成标准；不确定但低风险的细节记录为假设并继续推进。\n- 涉及当前事实、版本、CVE、云服务、GitHub 状态、价格、外部 API 或论文时，查真实来源并标注证据等级。\n- 涉及代码改动时保持最小正确改动，优先使用现有框架、脚本、测试和本地工具。\n- 只有真实运行过的命令、测试、构建、扫描或人工检查才能写成已验证。\n- 涉及删除、远程写入、生产、凭据、付费、push、PR/Issue、CI/CD、权限或基础设施变更时，先拿到明确授权。\n\n## 安全边界\n- 只处理自有资产、明确授权资产、实验室、CTF、靶场、日志、配置、样本、代码审计、防御建设和报告写作。\n- 真实第三方目标上不提供漏洞利用、凭证获取、持久化、规避检测、C2、钓鱼收集、数据外传、破坏或未授权访问步骤。\n- 高风险请求默认转为防御输出：授权边界、风险解释、检测思路、日志查询、规则草案、加固方案、验证清单和报告结构。\n- 主动联网扫描、云账号检查、目录/租户查询或生产环境动作前，确认目标范围、速率、时间窗口、禁止动作和回滚方式。\n- 发现密钥、个人信息、样本敏感数据或客户数据时，只报告类型、位置和处置建议，不复述完整秘密值。\n\n## 能力矩阵\n| 能力域 | 覆盖范围 | 执行要点 |\n| --- | --- | --- |\n| 入口梳理 | routes、controllers、GraphQL resolvers、webhooks、file upload、SPA routes | 列出用户可控输入。 |\n| Source/Sink | 请求参数、headers、cookies、body、files、env、DB 到 command、SQL、template、file、URL、deserialize | 建立可达路径。 |\n| 认证授权 | session、JWT、OAuth、OIDC、tenant、role、object ownership、CSRF | 区分未登录、低权、高权路径。 |\n| Web/API 漏洞 | 注入、XSS、SSRF、XXE、path traversal、deserialization、IDOR、logic bug | 每项给可验证证据。 |\n| 浏览器/SPA | CSP、CORS、postMessage、Cookie、storage、DOM sink、extension manifest | 检查前端信任边界。 |\n| GraphQL | schema、resolver auth、batching、depth、introspection、IDOR、N+1 | 关注字段级权限。 |\n| LLM/Agent 安全 | prompt injection、tool injection、data leakage、memory poisoning、agent CI/CD | 工具权限和数据边界优先。 |\n| 后门检测 | 异常入口、混淆、动态执行、可疑网络、隐藏账号、异常计划任务 | 用代码/配置证据说明。 |\n\n## 子域路由\n| 来源 skill | 并入后的处理方式 |\n| --- | --- |\n| code-audit | 代码级 source/sink、危险函数、污点分析和修复。 |\n| web-pentest | 授权 Web 应用验证、OWASP Top 10 和业务逻辑。 |\n| api-discovery | 接口枚举、路由/文档/客户端反推，不做未授权探测。 |\n| api-security-test | API 鉴权、越权、参数校验、速率限制和错误泄露。 |\n| graphql-pentest | GraphQL schema/resolver 权限和查询复杂度。 |\n| oauth-security | OAuth/OIDC redirect、state、PKCE、scope、token 存储。 |\n| browser-security | DOM/CSP/CORS/Cookie/postMessage/扩展安全。 |\n| spa-pentest | 前端路由、token 暴露、source map、前后端权限错位。 |\n| llm-red-teaming | LLM/Agent 防御验证、提示注入和工具边界。 |\n| backdoor-detector | Webshell、异常动态执行、隐藏管理口和恶意代码特征。 |\n\n## 工作流\n| 阶段 | 动作 | 完成标准 |\n| --- | --- | --- |\n| 授权与范围 | 确认资产、代码、环境、测试方式、禁止动作和输出敏感度。 | 知道能做什么。 |\n| 架构/入口 | 读取路由、schema、auth middleware、controllers、clients、config、tests。 | 攻击面和信任边界清晰。 |\n| 数据流分析 | 从 source 到 sink 追踪校验、转义、权限和异常处理。 | 有候选发现和证据链。 |\n| 验证优先级 | 按可达性、影响、权限、可利用复杂度和数据敏感度排序。 | 先验证高风险。 |\n| 修复设计 | 给最小修复、测试用例、兼容影响和日志/监控建议。 | 能落地。 |\n| 报告复查 | 每个发现包含位置、影响、证据、复现条件、修复、验证。 | 不夸大、不漏风险。 |\n\n## 证据等级\n- 已验证：本地命令、测试、构建、源码、配置、日志、官方资料或可复现数据支持。\n- 高可信：多个可靠来源一致，但当前环境没有完整复现。\n- 推断：基于已验证事实的合理判断，需要后续验证。\n- 未验证：尚未确认，不能作为最终结论。\n- 未知：资料不足，需要补充输入或授权。\n\n## 硬门禁\n- 主动扫描、认证绕过测试、文件上传测试、外部回连验证前必须确认授权和速率。\n- 不输出真实秘密值、完整客户数据或可用于未授权攻击的 payload。\n- 使用 Semgrep/CodeQL 等工具时记录规则、版本、目标和过滤标准。\n\n## 验证清单\n- 静态：文件/行号、调用链、source/sink、权限路径。\n- 动态：仅在授权本地/测试环境中验证，记录请求条件和预期结果。\n- 工具：Semgrep/CodeQL/SARIF 结果需去重和误报分析。\n- 修复：加入回归测试，确认漏洞路径被阻断且正常路径保留。\n\n## 反模式\n- 只列工具扫描结果，不做可达性和误报判断。\n- 把漏洞标题当证据。\n- 用攻击视角替代修复和检测方案。\n- 只修前端校验，不修服务端边界。\n\n## 合并来源\n- `api-discovery`\n- `api-security-test`\n- `backdoor-detector`\n- `browser-security`\n- `code-audit`\n- `graphql-pentest`\n- `llm-red-teaming`\n- `oauth-security`\n- `spa-pentest`\n- `web-pentest`\n\n## 本机相近 Skill\n- `source-command-code-audit`\n- `semgrep`\n- `codeql`\n- `variant-analysis`\n- `burpsuite-project-parser`\n\n## 输出合同\n```markdown\n完成：\n- ...\n\n证据：\n- [已验证/高可信/推断/未验证/未知] ...\n\n行动：\n- ...\n\n验证：\n- ...\n\n剩余风险：\n- ...\n\n下一步：\n- ...\n```","tags":["coff0xc","secure","code","appsec","coffee","skill","agent-skills","ai-agents","codex","defensive-security","devsecops","office-docs"],"capabilities":["skill","source-coff0xc","skill-coff0xc-secure-code-appsec","topic-agent-skills","topic-ai-agents","topic-appsec","topic-codex","topic-defensive-security","topic-devsecops","topic-office-docs","topic-prompt-engineering","topic-rag","topic-security-tools","topic-skills"],"categories":["coffee-skill"],"synonyms":[],"warnings":[],"endpointUrl":"https://skills.sh/Coff0xc/coffee-skill/coff0xc-secure-code-appsec","protocol":"skill","transport":"skills-sh","auth":{"type":"none","details":{"cli":"npx skills add Coff0xc/coffee-skill","source_repo":"https://github.com/Coff0xc/coffee-skill","install_from":"skills.sh"}},"qualityScore":"0.455","qualityRationale":"deterministic score 0.46 from registry signals: · indexed on github topic:agent-skills · 11 github stars · SKILL.md body (4,781 chars)","verified":false,"liveness":"unknown","lastLivenessCheck":null,"agentReviews":{"count":0,"score_avg":null,"cost_usd_avg":null,"success_rate":null,"latency_p50_ms":null,"narrative_summary":null,"summary_updated_at":null},"enrichmentModel":"deterministic:skill-github:v1","enrichmentVersion":1,"enrichedAt":"2026-05-18T19:07:31.168Z","embedding":null,"createdAt":"2026-05-18T13:12:44.994Z","updatedAt":"2026-05-18T19:07:31.168Z","lastSeenAt":"2026-05-18T19:07:31.168Z","tsv":"'+1':408 '/spa':388 '/spa/llm':12 '10':451 'access':43 'agent':420 'analysi':81,667 'api':22,194,268,454,462,465,625,628 'api-discoveri':453,624 'api-security-test':461,627 'appsec':5,54,155,164,176,230 'audit':438,639,662 'auth':106,402,528 'author':47 'backdoor':508,632 'backdoor-detector':507,631 'batch':403 'bodi':349 'browser':487,635 'browser-secur':486,634 'bug':385 'burp':108,206 'burpsuit':669 'burpsuite-project-pars':668 'bypass':48 'c2':136,304 'ci/cd':286,421 'client':531 'code':4,53,154,163,175,229,437,638,661 'code-audit':436,637 'codeql':664 'coff0xc':2,51,152,161,173,227,234 'coff0xc-secure-code-appsec':1,50,151,160,172,226 'coff0xc-skill-router':233 'command':354,660 'config':532 'control':44,336,530 'cooki':28,348,392 'cor':27,390 'csp':26,389 'csrf':370 'ctf':293 'cve':262 'data':416 'db':352 'depth':404 'descript':215,222 'deseri':359,382 'detector':509,633 'discoveri':455,626 'dom':394 'dom/csp/cors/cookie/postmessage':489 'env':351 'extens':396 'fals':184 'file':340,350,357 'frontmatt':213 'github':264 'graphql':24,197,337,399,471,473,641 'graphql-pentest':470,640 'header':347 'idor':383,406 'inject':413,415 'introspect':405 'iot':249 'jwt':363 'leakag':417 'llm':501,644 'llm-red-team':500,643 'llm/agent':199,410,504 'logic':384 'manifest':397 'map':498 'markdown':673 'memori':418 'middlewar':107,529 'model':46 'n':407 'oauth':25,364,477,648 'oauth-secur':476,647 'oauth/oidc':198,479 'object':368 'oidc':365 'owasp':449 'ownership':369 'parser':671 'path':380 'payload':244,593 'pentest':445,472,493,642,652,655 'permiss':45 'pkce':482 'poison':419 'posit':185 'postmessag':391 'pr/issue':285 'project':670 'prompt':29,116,412 'push':284 'red':502,645 'redirect':480 'remov':183 'report':181 'resolv':338,401 'role':367 'rout':335,343 'router':236 'routes/controllers/resolvers':105 'sarif':110,180,209 'schema':400,527 'schema/resolver':474 'scope':483 'se':49 'secur':3,52,153,162,174,228,463,478,488,629,636,649 'semgrep':663 'semgrep/codeql':595 'semgrep/codeql/sarif':611 'session':362 'sink':395,539 'skill':217,235,238,251,434,657 'skill-coff0xc-secure-code-appsec' 'sourc':497,537,659 'source-coff0xc' 'source-command-code-audit':658 'source/sink':18,61,96,166,345,440,604 'spa':342,492,651 'spa-pentest':491,650 'sql':355 'sqli':36,169 'ssrf':34,167,378 'state':481 'storag':393 'team':503,646 'templat':356 'tenant':366 'test':464,533,630 'text':149 'token':484,495 'tool':414 'top':450 'topic-agent-skills' 'topic-ai-agents' 'topic-appsec' 'topic-codex' 'topic-defensive-security' 'topic-devsecops' 'topic-office-docs' 'topic-prompt-engineering' 'topic-rag' 'topic-security-tools' 'topic-skills' 'travers':381 'triag':178 'upload':341 'url':358 'use':6,171 'variant':80,666 'variant-analysi':665 'web':20,444,447,654 'web-pentest':443,653 'web/api':157,374 'web/api/graphql/oauth':10 'webhook':339 'webshel':38,510 'xss':35,168,377 'xxe':379 '下一步':684 '不修服务端边界':622 '不做可达性和误报判断':618 '不做未授权探测':460 '不复述完整秘密值':329 '不夸大':563 '不把未复现猜测写成确认漏洞':71 '不提供未授权利用':121 '不提供未授权攻击':132 '不漏风险':564 '不确定但低风险的细节记录为假设并继续推进':259 '不能作为最终结论':582 '不要对未授权目标进行主动扫描':240 '不要提供可直接攻击第三方的':243 '不输出真实秘密值':591 '不适用场景':239 '个人信息':325 '为什么可以放心':139 '主动扫描':125,587 '主动联网扫描':316 '二进制':247 '云或身份专项转对应':250 '云服务':263 '云账号检查':317 '仅在授权本地':607 '从':536 '付费':283 '代码':519 '代码入口':41 '代码审计':16,298 '代码级':439 '以代码和证据为中心定位应用安全问题':187 '价格':266 '优先使用现有框架':272 '优先最小补丁和回归测试':70 '但当前环境没有完整复现':576 '位置':92 '位置和处置建议':328 '低权':372 '使用':150,159,225,594 '信任边界和危险函数':62 '修复':561,613 '修复建议':98,203 '修复建议和回归检查':89 '修复设计':550 '修复闭环':69 '先找入口':58 '先拿到明确授权':288 '先读取项目文件':253 '先验证高风险':549 '入口':525 '入口优先':57 '入口梳理':334 '全面代码安全审计':9 '关注字段级权限':409 '典型使用方式':148 '兼容影响和日志':553 '再下结论或改文件':257 '凭据':282 '凭据滥用':75 '凭据窃取':133 '凭据获取':122 '凭证获取':301 '分析授权测试证据':205 '列出用户可控输入':344 '利用或绕过':242 '利用链':245 '到':353,538 '前后端权限错位':499 '前端路由':494 '剩余风险':683 '加入回归测试':614 '加固':130 '加固方案':314 '动作':515 '动态':606 '动态执行':426 '区分已验证':143 '区分未登录':371 '危险函数':17,441 '参数校验':468 '反模式':616 '发现密钥':324 '只修前端校验':621 '只列工具扫描结果':617 '只处理自有或明确授权资产':119 '只处理自有资产':290 '只报告类型':327 '只有大范围':79 '只有真实运行过的命令':275 '可以接收什么输入':103 '可先用':232 '可利用复杂度和数据敏感度排序':548 '可疑网络':427 '合并来源':623 '后门':37 '后门检测':423 '后门检测和授权应用安全验证工作流':14 '和业务逻辑':452 '和后门迹象':170 '回归测试和安全报告':204 '基于已验证事实的合理判断':578 '复现条件':95,560 '外部':267 '外部回连验证前必须确认授权和速率':590 '多个可靠来源一致':575 '如果没有自动触发':223 '如果用户只写了宽泛主题':231 '子域路由':432 '存储':485 '它把源码':85 '安全':13,21,23,200,411 '安全发现列表':91 '安全类能力默认只用于授权':127 '安全输出默认包含修复':146 '安全边界':289 '完成':674 '完成标准':516 '完整客户数据或可用于未授权攻击的':592 '官方资料或可复现数据支持':573 '实验室':292 '审计代码':191 '审计这个':156 '客户端反推':459 '对高风险请求保持防御化和授权边界':189 '寻找漏洞根因':201 '尚未确认':581 '工作流':513 '工具':610 '工具名':220 '工具权限和数据边界优先':422 '已把中文':218 '已验证':566,676 '并入后的处理方式':435 '应用验证':448 '建立可达路径':360 '异常入口':424 '异常动态执行':511 '异常计划任务':429 '当用户请求':8 '影响':67,93,546,558 '快速规则':55 '或权限链路说明':97 '或论文时':269 '手动写':224 '执行原则':252 '执行要点':333 '扩展安全':490 '扫描或人工检查才能写成已验证':278 '扫描结果':111 '扫描结果和日志转成可验证发现':88 '扫描结果或源码泄露风险':210 '把漏洞标题当证据':619 '把用户目标转成可验证的完成标准':258 '报告复查':556 '持久化':76,123,134,302 '按可达性':545 '授权':446 '授权与范围':517 '授权边界':60,309 '接口枚举':456 '推断':577,678 '推断和未知':145 '提示注入和工具边界':506 '攻击面和信任边界清晰':534 '放心使用的边界':118 '数据外传':306 '数据外传和生产验证先确认':77 '数据外传或破坏性步骤':138 '数据流':42 '数据流分析':535 '文件':601 '文件上传测试':589 '文档':458 '日常任务先读这里':56 '日志':112,208,295,572 '日志建议':101 '日志查询':312 '日志证据':142 '时间窗口':322 '明确授权资产':291 '普通代码安全审计按本节先推进':78 '暴露':496 '有候选发现和证据链':543 '未授权目标':73 '未知':583,680 '未验证':580,679 '本':216 '本地代码和防御建设':120 '本地命令':567 '本机相近':656 '权限':547 '权限和异常处理':542 '权限和查询复杂度':475 '权限或基础设施变更时':287 '权限模型':33 '权限越权':32 '权限路径':605 '来源':433 '来源别名和常见缩写写入':221 '构建':277,569 '架构':524 '查真实来源并标注证据等级':270 '样本':297 '样本敏感数据或客户数据时':326 '检查前端信任边界':398 '检测':100,129 '检测和验证闭环':147 '检测思路':311 '每个发现包含位置':557 '每个发现必须有代码':140 '每个发现必须有文件':64 '每项给可验证证据':386 '污点分析':19 '污点分析和修复':442 '注入':30,376 '注入或后门疑点':117 '测试':276,568 '测试和本地工具':274 '测试方式':521 '测试环境中验证':608 '测试用例':99,552 '浏览器':11,387 '浏览器安全':196 '涉及代码改动时保持最小正确改动':271 '涉及删除':279 '涉及当前事实':260 '混淆':425 '源码':570 '源码仓库':104 '漏洞':375 '漏洞线索':114 '爆破':241 '版本':261,597 '状态':265 '环境':520 '现有风格和可用工具':256 '生产':281 '用代码':430 '用攻击视角替代修复和检测方案':620 '的':214 '监控建议':554 '目录':318 '目标':186 '目标和过滤标准':598 '看':165 '看到别人数据':40 '真实攻击链':74 '真实第三方目标上不提供漏洞利用':300 '知道能做什么':523 '破坏或未授权访问步骤':307 '硬边界':72 '硬门禁':586 '确认漏洞路径被阻断且正常路径保留':615 '确认目标范围':320 '确认资产':518 '禁止动作和回滚方式':323 '禁止动作和输出敏感度':522 '租户查询或生产环境动作前':319 '移动':248 '等工具时记录规则':596 '结果需去重和误报分析':612 '绕过登录':39 '绕过脚本或数据外传步骤':246 '给出可验证修复':188 '给最小修复':551 '能交付什么':90 '能力域':331 '能力定位':83 '能力矩阵':330 '能落地':555 '脚本':273 '自动触发主要依赖本文件':212 '英文':219 '行动':681 '行号':65,602 '补丁验证或上线安全门禁时再展开完整工作流':82 '覆盖范围':332 '规则草案':313 '规避检测':135,303 '规避检测或外传步骤':124 '触发':15 '触发强化':211 '触发条件和修复建议':68 '认证授权':195,361 '认证绕过测试':588 '认证绕过测试和外部回连必须先确认授权范围':126 '记录请求条件和预期结果':609 '证据':94,559,675 '证据等级':565 '证据门禁':63 '误报判断和剩余风险':102 '误报确认':202 '请求参数':346 '读取路由':526 '调用点':255 '调用链':66,603 '资料不足':584 '越权':31,467 '越权现象':115 '路由':86,193,457 '路由到本':237 '转义':541 '输出合同':672 '远程写入':280 '追踪校验':540 '适用场景':190 '速率':321 '速率限制和错误泄露':469 '配置':87,113,141,192,254,296,571 '配置证据说明':431 '鉴权':59,466 '钓鱼收集':137,305 '防御':128 '防御建设和报告写作':299 '防御验证':505 '阶段':514 '隐藏管理口和恶意代码特征':512 '隐藏账号':428 '需要后续验证':579 '需要补充输入或授权':585 '静态':600 '面向代码和应用安全的证据化审计能力':84 '靶场':294 '项目':109,207 '项目的认证和越权风险':158 '风险解释':310 '验证':562,682 '验证优先级':544 '验证和报告':131 '验证清单':599 '验证清单和报告结构':315 '高可信':144,574,677 '高权路径':373 '高风险请求默认转为防御输出':308","prices":[{"id":"e32a5a7d-6f9d-4d09-88ae-77ba47a5dff9","listingId":"87c0c1a6-68e4-499b-a8cc-f6fbb7767db3","amountUsd":"0","unit":"free","nativeCurrency":null,"nativeAmount":null,"chain":null,"payTo":null,"paymentMethod":"skill-free","isPrimary":true,"details":{"org":"Coff0xc","category":"coffee-skill","install_from":"skills.sh"},"createdAt":"2026-05-18T13:12:44.994Z"}],"sources":[{"listingId":"87c0c1a6-68e4-499b-a8cc-f6fbb7767db3","source":"github","sourceId":"Coff0xc/coffee-skill/coff0xc-secure-code-appsec","sourceUrl":"https://github.com/Coff0xc/coffee-skill/tree/main/skills/coff0xc-secure-code-appsec","isPrimary":false,"firstSeenAt":"2026-05-18T13:12:44.994Z","lastSeenAt":"2026-05-18T19:07:31.168Z"}],"details":{"listingId":"87c0c1a6-68e4-499b-a8cc-f6fbb7767db3","quickStartSnippet":null,"exampleRequest":null,"exampleResponse":null,"schema":null,"openapiUrl":null,"agentsTxtUrl":null,"citations":[],"useCases":[],"bestFor":[],"notFor":[],"kindDetails":{"org":"Coff0xc","slug":"coff0xc-secure-code-appsec","github":{"repo":"Coff0xc/coffee-skill","stars":11,"topics":["agent-skills","ai-agents","appsec","codex","defensive-security","devsecops","office-docs","prompt-engineering","rag","security-tools","skills"],"license":"other","html_url":"https://github.com/Coff0xc/coffee-skill","pushed_at":"2026-05-17T11:03:26Z","description":"Installable Codex/AgentSkills workflow pack for dev, Agent/RAG, API/data, Office artifacts, research diagrams, and authorized security review.","skill_md_sha":"af5126c952a00492c8e84bb8e5c19ff862c27d17","skill_md_path":"skills/coff0xc-secure-code-appsec/SKILL.md","default_branch":"main","skill_tree_url":"https://github.com/Coff0xc/coffee-skill/tree/main/skills/coff0xc-secure-code-appsec"},"layout":"multi","source":"github","category":"coffee-skill","frontmatter":{"name":"coff0xc-secure-code-appsec","description":"Use when / 当用户请求: 全面代码安全审计、Web/API/GraphQL/OAuth/浏览器/SPA/LLM 安全、后门检测和授权应用安全验证工作流。触发：代码审计、危险函数、source/sink、污点分析、Web 安全、API 安全、GraphQL、OAuth、CSP、CORS、Cookie、Prompt 注入、越权、权限越权、权限模型、SSRF、XSS、SQLi、后门、Webshell、绕过登录、看到别人数据、代码入口、数据流、access control、permission model、authorization bypass、security regression、安全回归。 Covered source aliases / 来源别名: api-discovery, api-security-test, backdoor-detector, browser-security, code-audit, graphql-pentest, llm-red-teaming, oauth-security, spa-pentest, web-pentest. Capability domains / 能力域: 入口梳理, Source/Sink, 认证授权, Web/API 漏洞, 浏览器/SPA, GraphQL, LLM/Agent 安全, 后门检测. If this skill does not auto-trigger, user can manually invoke: 使用 coff0xc-secure-code-appsec."},"skills_sh_url":"https://skills.sh/Coff0xc/coffee-skill/coff0xc-secure-code-appsec"},"updatedAt":"2026-05-18T19:07:31.168Z"}}