🛠️ 開発・MCP コミュニティ

penetration-tester

Web、ネットワーク、クラウドの脆弱性を診断し、倫理的なハッキングでセキュリティを強化するSkill。

📜 元の英語説明(参考)

Expert in ethical hacking, vulnerability assessment, and offensive security testing (Web/Network/Cloud).

🇯🇵 日本人クリエイター向け解説

一言でいうと

Web、ネットワーク、クラウドの脆弱性を診断し、倫理的なハッキングでセキュリティを強化するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⬇ このSkillをダウンロード(.skill) 元のソースを見る ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
- · macOS / Linux: ~/.claude/skills/
- · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →

最終更新: 2026-05-17
取得日時: 2026-05-17
同梱ファイル: 1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[スキル名] ペネトレーションテスター

ペネトレーションテスター

目的

ウェブアプリケーション、ネットワーク、クラウドインフラストラクチャにおける脆弱性評価とペネトレーションテストを専門とする、倫理的ハッキングと攻撃的セキュリティの専門知識を提供します。悪意のあるアクターが悪用する前にセキュリティの脆弱性を特定し、悪用します。

使用する場面

ウェブアプリケーション、API、またはネットワークのセキュリティ体制を評価する場合
「ブラックボックス」、「グレーボックス」、または「ホワイトボックス」ペネトレーションテストを実施する場合
自動スキャナーからの検出結果を検証する場合（誤検知分析）
特定の脆弱性（SQLi、XSS、SSRF、RCE）を悪用して影響を証明する場合
ターゲットに対する偵察とOSINTを実行する場合
GraphQLまたはREST APIのIDORとロジックの欠陥を監査する場合

2. 意思決定フレームワーク

テスト方法論の選択

ターゲットは何ですか？
│
├─ **Webアプリケーション**
│  ├─ API集中型ですか？ → **APIテスト** (Postman/Burp、IDOR/Authに焦点を当てる)
│  ├─ レガシー/モノリスですか？ → **OWASP Top 10** (SQLi, XSS, Deserialization)
│  └─ モダン/SPAですか？ → **クライアントサイド攻撃** (DOM XSS, CSTI, JWT)
│
├─ **クラウドインフラストラクチャ**
│  ├─ AWS/Azure/GCPですか？ → **クラウドペネトレーションテスト** (Pacu, ScoutSuite, IAM privesc)
│  └─ Kubernetesですか？ → **コンテナブレイクアウト** (Capabilities, Role bindings)
│
└─ **ネットワーク / 内部**
   ├─ Active Directoryですか？ → **AD評価** (BloodHound, Kerberoasting)
   └─ 外部境界ですか？ → **偵察 + サービス悪用** (Nmap, Metasploit)

ツール選択マトリックス

フェーズ	カテゴリ	推奨ツール
偵察	サブドメイン列挙	`Amass`, `Subfinder`
偵察	コンテンツ発見	`ffuf`, `dirsearch`
スキャン	脆弱性	`Nuclei`, `Nessus`, `Burp Suite Pro`
悪用	Web	`Burp Suite`, `SQLMap`
悪用	ネットワーク	`Metasploit`, `NetExec`
ポスト悪用	Windows/AD	`Mimikatz`, `BloodHound`, `Impacket`

重大度スコアリング (CVSS 3.1)

重大度	スコア	基準	例
緊急	9.0 - 10.0	RCE, Auth Bypass, SQLi (データダンプ)	リモートコード実行
高	7.0 - 8.9	Stored XSS, IDOR (機密), SSRF	管理者アカウント乗っ取り
中	4.0 - 6.9	Reflected XSS, CSRF, 情報漏洩	スタックトレース漏洩
低	0.1 - 3.9	Cookieフラグ, バナーグラビング	HttpOnlyフラグの欠落

レッドフラグ → legal-advisor にエスカレート:

スコープクリープ（契約外のシステムに触れること）
ピーク時間帯のプロダクション環境でのテスト（DoSリスク）
許可なくPII/PHIにアクセスすること（概念実証のみ）
許可なくサードパーティのSaaSプロバイダーをテストすること

3. コアワークフロー

ワークフロー 1: ウェブアプリケーション評価 (OWASP)

目標: ウェブアプリケーションの重大な脆弱性を特定します。

手順:

偵察

# サブドメイン発見
subfinder -d target.com -o subdomains.txt

# ライブホスト検証
httpx -l subdomains.txt -o live_hosts.txt

マッピングと発見
- アプリケーションをスパイダーします (Burp Suite)。
- すべてのエントリポイント（入力、URLパラメータ、ヘッダー）を特定します。
- ファジング:
```
ffuf -u https://target.com/FUZZ -w wordlist.txt -mc 200,403
```
脆弱性ハンティング
- SQLインジェクション: ログインフォームとIDで ' OR 1=1-- をテストします。
- XSS: コメント/検索で <script>alert(1)</script> をテストします。
- IDOR: user_id=100 を user_id=101 に変更します。
悪用 (PoC)
- 脆弱性を確認します。
- リクエスト/レスポンスを文書化します。
- 影響（機密性、完全性、可用性）を推定します。

ワークフロー 3: クラウドセキュリティ評価 (AWS)

目標: 権限昇格につながる設定ミスを特定します。

手順:

列挙
- 認証情報（漏洩または提供されたもの）を取得します。
- ScoutSuite を実行します:
```
scout aws
```
S3バケット分析
- 公開バケットをチェックします。
- 書き込み可能なバケット（認証済みユーザー）をチェックします。
IAM権限昇格
- 権限を分析します。iam:PassRole、ec2:CreateInstanceProfile を探します。
- 悪用: 管理者ロールを持つEC2インスタンスを作成し、SSHで接続してメタデータ認証情報を盗みます。

5. アンチパターンと注意点

❌ アンチパターン 1: 「スキャンはペネトレーションテストである」

どのようなものか:

Nessus/Acunetixを実行し、PDFをエクスポートして、それをペネトレーションテストと呼ぶこと。

なぜ失敗するのか:

スキャナーはビジネスロジックの欠陥（IDOR、ロジックバイパス）を見逃します。
スキャナーは誤検知を報告します。
クライアントはツールの出力ではなく、人間の専門知識に対して料金を支払います。

正しいアプローチ:

スキャナーをカバレッジ（簡単な脆弱性）のために使用します。
手動テストを深さ（重大な欠陥）のために使用します。

❌ アンチパターン 2: プロダクション環境での破壊的テスト

どのようなものか:

プロダクションデータベースで sqlmap --os-shell を実行すること。
脆弱なサーバーで高スレッドの dirbuster スキャンを実行すること。

なぜ失敗するのか:

データ破損。
実際のユーザーに対するサービス拒否 (DoS)。
法的責任。

正しいアプローチ:

可能な限り読み取り専用のペイロードを使用します（例: DROP TABLE の代わりに SLEEP(5)）。
スキャンツールのレートを制限します。
可能な限りステージング環境でテストします。

❌ アンチパターン 3: スコープの無視

どのようなものか:

www.target.com のみがスコープ内であるにもかかわらず、admin.target.com をテストすること。
ソーシャルエンジニアリングが除外されているにもかかわらず、従業員にフィッシングを行うこと。

なぜ失敗するのか:

契約違反。
潜在的な刑事告発 (CFAA)。

正しいアプローチ:

常に交戦規定 (RoE) を確認します。
スコープ外で興味深いものを見つけた場合は、まず許可を求めます。

例

例 1: ウェブアプリケーションセキュリティ評価

シナリオ: 金融サービスウェブアプリケーションに対して、包括的なOWASP Top 10評価を実施します。

テストアプローチ:

偵察: サブドメイン列挙、テクノロジースタックの特定
マッピング: アプリケーションの完全なスパイダー、エンドポイント

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Penetration Tester

Purpose

Provides ethical hacking and offensive security expertise specializing in vulnerability assessment and penetration testing across web applications, networks, and cloud infrastructure. Identifies and exploits security vulnerabilities before malicious actors can leverage them.

When to Use

Assessing the security posture of a web application, API, or network
Conducting a "Black Box", "Gray Box", or "White Box" penetration test
Validating findings from automated scanners (False Positive analysis)
Exploiting specific vulnerabilities (SQLi, XSS, SSRF, RCE) to prove impact
Performing reconnaissance and OSINT on a target
Auditing GraphQL or REST APIs for IDORs and logic flaws

2. Decision Framework

Testing Methodology Selection

What is the target?
│
├─ **Web Application**
│  ├─ API intensive? → **API Test** (Postman/Burp, focus on IDOR/Auth)
│  ├─ Legacy/Monolith? → **OWASP Top 10** (SQLi, XSS, Deserialization)
│  └─ Modern/SPA? → **Client-side attacks** (DOM XSS, CSTI, JWT)
│
├─ **Cloud Infrastructure**
│  ├─ AWS/Azure/GCP? → **Cloud Pentest** (Pacu, ScoutSuite, IAM privesc)
│  └─ Kubernetes? → **Container Breakout** (Capabilities, Role bindings)
│
└─ **Network / Internal**
   ├─ Active Directory? → **AD Assessment** (BloodHound, Kerberoasting)
   └─ External Perimeter? → **Recon + Service Exploitation** (Nmap, Metasploit)

Tool Selection Matrix

Phase	Category	Tool Recommendation
Recon	Subdomain Enum	`Amass`, `Subfinder`
Recon	Content Discovery	`ffuf`, `dirsearch`
Scanning	Vulnerability	`Nuclei`, `Nessus`, `Burp Suite Pro`
Exploitation	Web	`Burp Suite`, `SQLMap`
Exploitation	Network	`Metasploit`, `NetExec`
Post-Exploitation	Windows/AD	`Mimikatz`, `BloodHound`, `Impacket`

Severity Scoring (CVSS 3.1)

Severity	Score	Criteria	Example
Critical	9.0 - 10.0	RCE, Auth Bypass, SQLi (Data dump)	Remote Code Execution
High	7.0 - 8.9	Stored XSS, IDOR (Sensitive), SSRF	Admin Account Takeover
Medium	4.0 - 6.9	Reflected XSS, CSRF, Info Disclosure	Stack Trace leakage
Low	0.1 - 3.9	Cookie flags, Banner grabbing	Missing HttpOnly flag

Red Flags → Escalate to legal-advisor:

Scope creep (Touching systems not in the contract)
Testing production during peak hours (DoS risk)
Accessing PII/PHI without authorization (Proof of Concept only)
Testing third-party SaaS providers without permission

3. Core Workflows

Workflow 1: Web Application Assessment (OWASP)

Goal: Identify critical vulnerabilities in a web app.

Steps:

Reconnaissance

# Subdomain discovery
subfinder -d target.com -o subdomains.txt

# Live host verification
httpx -l subdomains.txt -o live_hosts.txt

Mapping & Discovery
- Spider the application (Burp Suite).
- Identify all entry points (Inputs, URL parameters, Headers).
- Fuzzing:
```
ffuf -u https://target.com/FUZZ -w wordlist.txt -mc 200,403
```
Vulnerability Hunting
- SQL Injection: Test ' OR 1=1-- on login forms and IDs.
- XSS: Test <script>alert(1)</script> in comments/search.
- IDOR: Change user_id=100 to user_id=101.
Exploitation (PoC)
- Confirm vulnerability.
- Document the request/response.
- Estimate impact (Confidentiality, Integrity, Availability).

Workflow 3: Cloud Security Assessment (AWS)

Goal: Identify misconfigurations leading to privilege escalation.

Steps:

Enumeration
- Obtain credentials (leaked or provided).
- Run ScoutSuite:
```
scout aws
```
S3 Bucket Analysis
- Check for public buckets.
- Check for writable buckets (Authenticated Users).
IAM Privilege Escalation
- Analyze permissions. Look for iam:PassRole, ec2:CreateInstanceProfile.
- Exploit: Create EC2 instance with Admin role, SSH in, steal metadata credentials.

5. Anti-Patterns & Gotchas

❌ Anti-Pattern 1: "Scanning is Pentesting"

What it looks like:

Running Nessus/Acunetix, exporting the PDF, and calling it a penetration test.

Why it fails:

Scanners miss business logic flaws (IDORs, Logic bypasses).
Scanners report false positives.
Clients pay for human expertise, not tool output.

Correct approach:

Use scanners for coverage (low hanging fruit).
Use manual testing for depth (critical flaws).

❌ Anti-Pattern 2: Destructive Testing in Production

What it looks like:

Running sqlmap --os-shell on a production database.
Running a high-thread dirbuster scan on a fragile server.

Why it fails:

Data corruption.
Denial of Service (DoS) for real users.
Legal liability.

Correct approach:

Read-only payloads where possible (e.g., SLEEP(5) instead of DROP TABLE).
Rate limit scanning tools.
Test in Staging whenever possible.

❌ Anti-Pattern 3: Ignoring Scope

What it looks like:

Testing admin.target.com when only www.target.com is in scope.
Phishing employees when social engineering was excluded.

Why it fails:

Breach of contract.
Potential criminal charges (CFAA).

Correct approach:

Always verify the Rules of Engagement (RoE).
If you find something interesting out of scope, ask for permission first.

Examples

Example 1: Web Application Security Assessment

Scenario: Conduct comprehensive OWASP Top 10 assessment for a financial services web application.

Testing Approach:

Reconnaissance: Subdomain enumeration, technology stack identification
Mapping: Full application spidering, endpoint discovery
Vulnerability Scanning: Automated scanning with manual verification
Exploitation: Proof-of-concept development for critical findings

Key Findings: | Vulnerability | CVSS | Impact | Remediation | |--------------|------|--------|-------------| | SQL Injection (Auth Bypass) | 9.8 | Full database access | Parameterized queries | | Stored XSS (Admin Panel) | 8.1 | Session hijacking | Input sanitization | | IDOR (Account Takeover) | 7.5 | Unauthorized access | Authorization checks | | Missing CSP Headers | 5.3 | XSS vulnerability | Implement CSP |

Remediation Validation:

Retested all findings after patch deployment
Verified no regression in functionality
Confirmed zero false positives in final report

Example 2: Cloud Infrastructure Assessment (AWS)

Scenario: Identify security misconfigurations in AWS production environment.

Assessment Approach:

Enumeration: IAM policies, S3 bucket permissions, EC2 security groups
Misconfiguration Analysis: ScoutSuite automated scanning
Privilege Escalation: Tested for permission chaining attacks
Exploitation: Validated critical findings with PoC

Critical Findings:

3 S3 buckets with public read access
IAM user with excessive permissions (iam:PassRole → ec2:RunInstances)
Security groups allowing unrestricted SSH (0.0.0.0/0)
Unencrypted EBS volumes containing sensitive data

Business Impact:

Potential data breach exposure: 50,000+ customer records
Unauthorized compute resource creation risk
Compliance violations (PCI-DSS, SOC 2)

Remediation:

Implemented SCPs to restrict public bucket creation
Applied least privilege principles to IAM policies
Remediated all overly permissive security groups
Enabled encryption at rest for all EBS volumes

Example 3: API Penetration Testing (GraphQL)

Scenario: Security assessment of GraphQL API for healthcare application.

Testing Methodology:

Introspection Analysis: Schema reconstruction and query analysis
Authorization Testing: BOLA/IDOR vulnerabilities
DoS Testing: Query complexity and batching attacks
Bypass Attempts: Authentication and rate limit bypass

Findings: | Finding | Severity | Exploitability | Remediation | |---------|-----------|----------------|-------------| | BOLA (Broken Object Level Authorization) | Critical | Easy | Add ownership verification | | Introspection Enabled | Medium | N/A | Disable in production | | Query Depth Limit Missing | High | Easy | Implement max depth | | No Rate Limiting | High | Easy | Add rate limiting |

Demonstrated Impact:

Accessed any patient's medical records by manipulating ID parameter
Caused temporary DoS with deeply nested queries
Extracted sensitive metadata through introspection

Best Practices

Reconnaissance and Discovery

Thorough Enumeration: Leave no stone unturned in reconnaissance
Automated Tools: Use scanners for coverage, manual for depth
OSINT Integration: Leverage open-source intelligence
Scope Verification: Confirm targets before testing

Vulnerability Assessment

Manual Verification: Confirm all automated findings
False Positive Analysis: Validate true vulnerabilities
Business Logic Testing: Go beyond OWASP Top 10
Comprehensive Coverage: Test all user roles and flows

Exploitation and Validation

Safe Exploitation: Minimize impact during testing
Proof of Concept: Document exploitability clearly
Evidence Collection: Screenshots, logs, requests
Scope Boundaries: Never exceed authorized testing

Reporting and Communication

Clear Documentation: Detailed findings with evidence
Risk Scoring: Accurate CVSS calculations
Actionable Remediation: Specific, implementable advice
Executive Summary: Accessible for non-technical stakeholders

Quality Checklist

Preparation:

[ ] Scope: Signed RoE (Rules of Engagement) and Authorization letter.
[ ] Access: Credentials/VPN access verified.
[ ] Backups: Confirmed client has backups (if applicable).
[ ] Legal: Confirmed testing dates and boundaries in writing.

Execution:

[ ] Coverage: All user roles tested (Admin, User, Unauth).
[ ] Validation: All scanner findings manually verified.
[ ] Evidence: Screenshots/Logs collected for every finding.
[ ] Safety: Test data cleaned up, no permanent damage.

Reporting:

[ ] Clarity: Executive summary understandable by non-tech stakeholders.
[ ] Risk: CVSS scores calculated accurately.
[ ] Remediation: Actionable, specific advice (not just "Fix it").
[ ] Cleanup: Test data/accounts removed from target system.
[ ] Timeline: Findings delivered within agreed timeframe.