Agent Skills
› NeverSight/learn-skills.dev
› php-crypto-audit
php-crypto-audit
GitHub用于审计PHP源码中的加密与密钥安全,检测弱哈希、不安全对称/非对称加密、签名缺陷及硬编码密钥。强制定位密钥来源并评估校验可靠性,输出分级漏洞编号、可执行PoC框架及修复建议,保障敏感数据安全。
Trigger Scenarios
用户请求进行PHP项目密码或令牌安全性审计
需要识别源码中硬编码密钥或弱加密实现
Install
npx skills add NeverSight/learn-skills.dev --skill php-crypto-audit -g -y
SKILL.md
Frontmatter
{
"name": "php-crypto-audit",
"description": "PHP Web 源码加密与密钥安全审计工具。识别弱哈希\/弱加密\/硬编码密钥\/签名校验缺陷,输出分级、PoC 与修复建议(禁止省略)。"
}
PHP 加密与密钥安全审计(php-crypto-audit)
分析 PHP 项目源码中密码/令牌/敏感数据的加密与哈希实现,检测:
- 弱哈希(MD5/SHA1/无 salt)
- 不安全的对称/非对称加密使用(ECB、固定 IV、错误模式)
- 签名校验缺陷(JWT 未验证、HMAC 用错、算法选择可控)
- 硬编码密钥/明文 key 泄露
分级与编号
- 详见:
shared/SEVERITY_RATING.md - 漏洞编号:
{C/H/M/L}-CRYPTO-{序号}
必检 Sink(强制)
必须搜索并分析以下实现点(按项目实际替换):
- 密码哈希:
md5/sha1/hash(非 password_hash)、crypt参数误用 - 安全哈希:
password_hash/password_verify(检查是否参数正确) - 对称加密:
openssl_encrypt/decrypt(检查 mode/iv) - 签名:
hash_hmac、openssl_sign、JWT verify/签名比较实现
必检要求(强制)
- 必须定位“密钥来源”:硬编码/环境变量/配置文件/请求参数
- 必须判断“校验是否可靠”:是否存在算法可控或比较时序泄露
- 必须输出修复建议与迁移方案(例如升级哈希算法、强制使用参数化模式)
PoC(强制框架)
由于加密类漏洞可能依赖环境,PoC 至少要给出:
- 可执行的“验证框架”(例如构造 JWT payload 并解释应当发生的验证失败/绕过)
- 或给出可观测的证据(例如日志泄露、错误模式产生可逆结果)
报告输出
{output_path}/vuln_audit/crypto_{timestamp}.md
Version History
- e0220ca Current 2026-07-05 20:37


