## 审计skills系列

[](https://github.com/RuoJi6/java-audit-skills#%E5%AE%A1%E8%AE%A1skills%E7%B3%BB%E5%88%97)

*   [net-audit-skills](https://github.com/RuoJi6/net-audit-skills) \- .NET / ASP.NET 代码审计 Claude Skills 集合

# Java Audit Skills

[](https://github.com/RuoJi6/java-audit-skills#java-audit-skills)

专注于 Java 代码审计的 Claude Skills 集合，提供自动化源码分析、路由提取、参数映射等功能，辅助安全研究人员和开发者进行 Java Web 应用的安全审计工作。

## 功能特性

[](https://github.com/RuoJi6/java-audit-skills#%E5%8A%9F%E8%83%BD%E7%89%B9%E6%80%A7)

*   **自动路由识别**：自动识别 Java Web 项目中的 HTTP 路由结构
*   **多框架支持**：支持 Spring MVC、Servlet、JAX-RS、Struts 2 等主流框架
*   **参数结构解析**：提取 Path、Query、Body、Header、Cookie 等各类参数
*   **反编译集成**：集成 Java 反编译器，支持分析已编译的 .class 和 .jar 文件
*   **Burp Suite 集成**：生成可直接用于 Burp Suite Repeater 的请求模板
*   **接口文档生成**：为无 API 文档的项目生成接口清单
*   **路由调用链追踪**：追踪从 Controller 到 DAO 层的完整调用链，分析参数流向
*   **鉴权机制审计**：识别鉴权框架实现，分析鉴权绕过和越权访问风险
*   **SQL 注入审计**：识别 SQL 执行框架，检测 SQL 注入漏洞风险
*   **文件上传审计**：识别文件上传入口，分析路径穿越和可执行文件上传风险
*   **文件读取审计**：识别文件读取操作，分析路径遍历攻击风险
*   **XXE 审计**：识别 XML 解析操作，检测外部实体注入漏洞风险
*   **组件漏洞检测**：扫描第三方依赖，匹配 130+ 条 CVE 规则，生成安全报告
*   **全链路审计流水线**：使用 agent team 编排多个审计 skill（含动态扩展的调用链追踪 worker），一键完成完整安全审计

## 前置要求

[](https://github.com/RuoJi6/java-audit-skills#%E5%89%8D%E7%BD%AE%E8%A6%81%E6%B1%82)

*   **Java 运行环境**：需安装 Java（`java -version` 可用即可）
*   **CFR 反编译器**：有两种获取方式：
    1.  如果已有 cfr.jar，直接指定路径使用
    2.  未指定时自动从 `https://xget.xi-xu.me/gh/leibnitz27/cfr/releases/download/0.152/cfr-0.152.jar` 下载

详细反编译策略参见 `skills/java-shared/DECOMPILE_STRATEGY.md`

| Skill                  | 说明                                  |
|------------------------|-------------------------------------|
| java-route-mapper      | Java Web 源码路由与参数映射分析工具              |
| java-route-tracer      | Java Web 源码路由多层级调用链追踪工具             |
| java-sql-audit         | Java Web 源码 SQL 注入漏洞审计工具            |
| java-auth-audit        | Java Web 源码鉴权机制审计工具                 |
| java-file-upload-audit | Java Web 源码文件上传漏洞审计工具               |
| java-file-read-audit   | Java Web 源码文件读取漏洞审计工具               |
| java-xxe-audit         | Java Web 源码 XXE 漏洞审计工具              |
| java-vuln-scanner      | Java 组件版本漏洞检测工具                     |
| java-audit-pipeline    | Java 全链路自动化安全审计流水线（需开启 agent teams） |
## 可用 Skills

Java代码审计Skills合集