detecting-oauth-token-theft

von mukul975

detecting-oauth-token-theft hilft bei der Untersuchung von OAuth-Token-Diebstahl, Replay-Angriffen und Session-Hijacking in Microsoft Entra ID und M365. Verwenden Sie diesen detecting-oauth-token-theft Skill für Security Audits, Incident Response und Härtungsreviews. Der Fokus liegt auf Anomalien bei Anmeldungen, verdächtigen Scopes, neuen Geräten und Eindämmungsmaßnahmen.

Stars0

Favoriten0

Kommentare0

Hinzugefügt11. Mai 2026

KategorieSecurity Audit

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-oauth-token-theft

Kurationswert

Dieser Skill erreicht 78/100 und ist damit ein solider Kandidat für das Verzeichnis: klar ausgelöst, mit echtem Workflow-Inhalt und mit sowohl Erkennungslogik als auch unterstützendem Code. Nutzer sollten dennoch mit einigen Lücken bei der Implementierung rechnen, insbesondere bei Einrichtung und durchgängigem operativem Onboarding. Für Teams, die in Microsoft Entra ID / OAuth-Token-Diebstahlszenarien an Cloud-Identity-Untersuchungen arbeiten, ist er jedoch nützlich genug zur Installation.

78/100

Stärken

Starke Auslösbarkeit: Das Frontmatter und der Abschnitt 'When to Use' zielen klar auf OAuth-Token-Diebstahl, Replay, PRT-Missbrauch, Pass-the-Cookie und Entra-ID-Untersuchungen ab.
Echter operativer Inhalt: Das Repo enthält ein Python-Erkennungsskript sowie API-Referenzbeispiele für Microsoft Graph- und Okta-Logs, was Agenten einen greifbaren Workflow-Vorteil gibt.
Gute Klarheit für die Installationsentscheidung: Die Doku nennt eine eindeutige Nicht-Einsatz-Grenze für On-Prem-Kerberos-Ticket-Angriffe und reduziert so Mehrdeutigkeiten für Agenten.

Hinweise

Kein Installationsbefehl und nur wenige Support-Dateien, daher ist möglicherweise eine manuelle Integration statt einer schlüsselfertigen Installation nötig.
Die Evidenz zeigt Erkennungslogik und Beispiele, aber kein vollständig end-to-end Incident-Response-Playbook; der Einsatz kann Anpassungen an lokale Log-Schemata und Umgebungen erfordern.

Security Cloud Security Azure Microsoft 365 Entra Id Oauth2 Conditional Access Openid Connect

Überblick

Überblick über den detecting-oauth-token-theft Skill

Der detecting-oauth-token-theft Skill hilft Ihnen dabei, OAuth-Token-Diebstahl, Replay-Angriffe und Session Hijacking in Cloud-Identity-Umgebungen zu untersuchen und zu reduzieren, insbesondere in Microsoft Entra ID und den dazugehörigen M365-Sicherheits-Workflows. Er ist vor allem bei einem Security Audit, in der Incident Response oder bei einer Härtungsprüfung nützlich, wenn Sie Sign-in-Evidenz in einen konkreten Erkennungs- oder Eindämmungsplan übersetzen müssen.

Wofür dieser Skill gedacht ist

Nutzen Sie den detecting-oauth-token-theft Skill, wenn die Frage nicht lautet „Was ist OAuth?“, sondern „Wie belege ich Token-Missbrauch, wie bestimme ich den Blast Radius und wie erkenne ich das beim nächsten Mal früher?“. Der Fokus liegt auf praktischen Indikatoren wie Impossible Travel, unbekannten Geräten, wiederholter Token-Nutzung von mehreren IPs, riskanten Scopes und Sign-in-Anomalien.

Geeignete Leser und Teams

Dieser Skill passt gut für Cloud Security Engineers, Identity Defender, SOC-Analysten und Auditoren, die in stark auf Microsoft Entra ID ausgerichteten Umgebungen arbeiten. Besonders relevant ist er, wenn bereits Sign-in-Logs, Conditional-Access-Policies oder Identity-Protection-Telemetrie vorliegen und Sie eine geführte Interpretation dieser Daten brauchen.

Was ihn auszeichnet

Anders als ein generischer Prompt ist dieser detecting-oauth-token-theft Skill an einen Workflow und eine Erkennungslogik gebunden, nicht nur an Ratschläge. Das Repo enthält ein Skript, ein Referenzdokument mit Log-Feldern und Scope-Mappings sowie konkrete Angriffsmuster wie den Diebstahl von Access Tokens, Refresh-Token-Replay, Primary Refresh Token Abuse und Pass-the-Cookie-Angriffe.

Wie Sie den detecting-oauth-token-theft Skill verwenden

Installieren und in Ihren Workflow laden

Installieren Sie den detecting-oauth-token-theft Skill mit:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-oauth-token-theft

Lesen Sie nach der Installation zuerst SKILL.md, dann references/api-reference.md und scripts/agent.py. Diese drei Dateien zeigen, was der Skill erkennt, welche Daten er erwartet und wie seine Erkennungslogik umgesetzt ist.

Den richtigen Incident-Kontext mitgeben

Der Skill arbeitet am besten mit strukturierten Angaben: Tenant-Typ, Identity-Plattform, Alert-Quelle, Zeitfenster, betroffene Nutzer, verdächtige IPs und bekannte Token- oder Gerätehinweise. Ein schwacher Prompt lautet „prüfe auf OAuth-Diebstahl“; ein stärkerer Prompt lautet:

„Untersuche möglichen OAuth-Token-Diebstahl in Microsoft Entra ID für den Benutzer alice@contoso.com zwischen 08:00 und 12:00 UTC. Wir haben Impossible Travel, ein neues Gerät und wiederholte Anmeldungen aus zwei Ländern gesehen. Empfiehl den wahrscheinlichen Missbrauchspfad, Log-Queries und Eindämmungsmaßnahmen.“

Mit so einem Prompt bekommt der Skill genug Kontext, um verwertbare Erkennungsanleitungen statt allgemeiner Theorie zu liefern.

Die Dateien in dieser Reihenfolge lesen

Beginnen Sie mit SKILL.md für Umfang und Voraussetzungen, dann mit references/api-reference.md für Log-Felder, sensible Scopes und Beispiel-Queries. Nutzen Sie scripts/agent.py als Implementierungshinweis: Dort sieht man, welche Bedingungen besonders wichtig sind, darunter Geo-/Zeit-Geschwindigkeitsprüfungen, neue Geräte und Muster wiederholter Nutzung.

Praktische Tipps für die Anwendung

Geben Sie dem Skill echte Sign-in-Evidenz und nicht nur einen Alert-Titel. Die Ausgabe wird deutlich besser, wenn Sie Zeitstempel, Quell-IP-Adressen, Geräte-IDs, Ressourcennamen und Sign-in-Statuscodes angeben. Wenn Sie den Skill für Security-Audit-Arbeiten einsetzen, lassen Sie sich Detection Controls, Investigation Steps und Prevention Controls getrennt ausgeben, damit sich das Ergebnis leichter in einen Bericht oder ein Runbook überführen lässt.

FAQ zum detecting-oauth-token-theft Skill

Ist das nur für Microsoft Entra ID?

Nein. Microsoft Entra ID ist der wichtigste Ausrichtungspunkt, aber die Erkennungsansätze lassen sich auch auf andere Identity Provider übertragen, sofern diese vergleichbare Telemetrie zu Sign-ins, Geräten und Token-Nutzung bereitstellen. Wenn Ihre Plattform diese Felder nicht liefert, passt der Skill deutlich schlechter.

Worin unterscheidet er sich von einem normalen Prompt?

Ein normaler Prompt liefert oft allgemeine Ratschläge zur Identity Security. Der detecting-oauth-token-theft Skill ist die bessere Wahl, wenn Sie einen wiederholbaren Workflow wollen, der mit Logs startet, gezielt nach Replay-Indikatoren sucht und die Ergebnisse mit Conditional-Access- oder Token-Protection-Entscheidungen verknüpft.

Ist er anfängerfreundlich?

Ja, wenn Sie die grundlegende Identity-Terminologie bereits kennen. Für die Untersuchung ist er anfängerfreundlich, weil er Sie zu den richtigen Belegen führt, aber er ersetzt weder den Zugriff auf Ihre Tenant-Logs noch ein solides Verständnis von Entra-ID-Sign-in-Daten.

Wann sollte ich ihn nicht verwenden?

Verwenden Sie ihn nicht für Kerberos-Ticket-Missbrauch, Domain-Controller-Kompromittierung oder andere Angriffe auf lokales AD. Diese Themen erfordern andere Untersuchungsmethoden und andere Telemetrie als der Fokus von detecting-oauth-token-theft.

So verbessern Sie den detecting-oauth-token-theft Skill

Hochwertigere Evidenz bereitstellen

Die größte Verbesserung kommt durch bessere Eingabedaten. Geben Sie exakte Zeitstempel, Tenant-Namen, User-Principal-Names, IP-Adressen, Geräte-IDs, Geo-Hinweise sowie den Status von MFA oder Conditional Access an. Wenn möglich, fügen Sie einen kleinen Log-Ausschnitt ein, statt ihn nur zusammenzufassen.

Jeweils nur einen Ausgabetyp anfordern

Der Skill liefert bessere Ergebnisse, wenn Sie die Ziele trennen. Fragen Sie zum Beispiel zuerst nach „wahrscheinlicher Missbrauchshypothese und unterstützenden Indikatoren“, dann nach „Log-Queries“ und anschließend nach „Eindämmungs- und Präventionsmaßnahmen“. So bleibt der detecting-oauth-token-theft Guide fokussiert und die Ausgabe wird nicht zu vage oder vermischt.

An Ihre Umgebung anpassen

Wenn Ihr Unternehmen Okta, eine hybride Identity-Architektur oder mehrere M365-Tenants nutzt, sagen Sie das gleich zu Beginn. Die zugrunde liegende Erkennungslogik in references/api-reference.md und scripts/agent.py ist nützlich, aber Sie müssen womöglich Feldnamen, Log-Quellen und Risikoschwellen anpassen, bevor das Ergebnis operativ einsetzbar ist.

Mit der ersten Antwort iterieren

Behandeln Sie die erste Ausgabe als Entwurf eines Untersuchungswegs. Wenn ein wichtiger Sign-in fehlt, ergänzen Sie weitere Telemetrie und starten Sie den Lauf mit einem engeren Zeitfenster oder einer präziseren Hypothese neu, etwa „Token-Replay nach Gerätewechsel“ oder „Scope-Missbrauch nach Consent“. So erzielen Sie am schnellsten bessere Ergebnisse mit detecting-oauth-token-theft für Security Audit- oder Incident-Response-Arbeiten.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

security-threat-model

von openai

Repository-basiertes security-threat-model für AppSec-Threat-Modeling. Es überführt Vertrauensgrenzen, Assets, Angreiferziele, Missbrauchspfade und Gegenmaßnahmen in ein kompaktes Markdown-Threat-Model. Nutzen Sie es, wenn Sie security-threat-model für Threat Modeling in einem konkreten Repo oder Pfad brauchen, nicht für eine generische Architekturprüfung oder Codeanalyse.

Threat Modeling

Favoriten 0GitHub 0

solana-vulnerability-scanner

von trailofbits

solana-vulnerability-scanner ist ein fokussierter Solana-Security-Audit-Skill für native Rust- und Anchor-Programme. Er hilft dabei, CPI-Logik, PDA-Validierung, Signer- und Ownership-Prüfungen sowie Sysvar-Spoofing zu überprüfen, um sechs kritische Solana-spezifische Schwachstellen vor dem Deployment zu erkennen.

Security Audit

Favoriten 0GitHub 4.9k

azure-ai-contentsafety-ts

von microsoft

azure-ai-contentsafety-ts hilft dabei, Text und Bilder mit Azure AI Content Safety in TypeScript auf schädliche Inhalte zu prüfen. Nutzen Sie diese Skill für Moderations-Workflows, Blocklists und Sicherheitsprüfungen von Hassrede, Gewalt, sexuellen Inhalten und Selbstverletzung. Außerdem werden das Einrichten von Azure-Endpunkt und Authentifizierung abgedeckt.

Security Audit

Favoriten 0GitHub 2.3k

sharp-edges

von trailofbits

Die sharp-edges-Skill hilft dir, APIs, Konfigurationen und Schnittstellen zu finden, bei denen der naheliegende Weg zu unsicherer Nutzung führt. Nutze sie, um Authentifizierungsflüsse, kryptografische Wrapper, gefährliche Standardwerte, Null- oder Zero-Semantik und anfällige Designentscheidungen zu prüfen. Sie passt besonders gut für sharp-edges bei Security-Audit-Arbeiten, wenn du konkrete Fallstricke brauchst und keine allgemeinen Sicherheitsvermutungen.

Security Audit

Favoriten 0GitHub 5k

security-review

von affaan-m

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

Security Audit

Favoriten 0GitHub 156.3k

django-security

von affaan-m

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

Security Audit

Favoriten 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

von mukul975

Das Skill „exploiting-insecure-data-storage-in-mobile“ unterstützt bei der Bewertung und Extraktion von Beweismitteln aus unsicherem lokalem Speicher in Android- und iOS-Apps. Es behandelt SharedPreferences, SQLite-Datenbanken, plist-Dateien, weltweit lesbare Dateien, Backup-Offenlegung sowie schwache Keychain-/Keystore-Verarbeitung für Mobile-Pentesting und Security-Audit-Workflows.

Security Audit

Favoriten 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

von mukul975

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

Security Audit

Favoriten 0GitHub 6.2k

building-incident-response-playbook

von mukul975

building-incident-response-playbook hilft Security-Teams, wiederverwendbare Incident-Response-Playbooks mit klaren Phasen, Entscheidungsbäumen, Eskalationskriterien, RACI-Zuordnung und SOAR-tauglicher Struktur zu erstellen. Es ist für die Dokumentation von Incident-Response-Prozessen, Workflows zur Incident-Triage und auditfähige operative Reaktionspläne gedacht.

Incident Triage

Favoriten 0GitHub 6.1k

building-patch-tuesday-response-process

von mukul975

building-patch-tuesday-response-process hilft Teams dabei, einen wiederholbaren Microsoft Patch Tuesday-Prozess aufzubauen, um Advisories zu triagieren, Risiken zu priorisieren, Patches zu testen, Rollouts freizugeben und Compliance nachzuverfolgen. Nützlich für Security Operations, Vulnerability Management und building-patch-tuesday-response-process für Projektmanagement.

Project Management

Favoriten 0GitHub 6.1k

ossfuzz

von trailofbits

Lerne die ossfuzz-Skill für Continuous Fuzzing-Setup, Projektanmeldung, Harness-Planung und die Prüfung des Build-Workflows kennen. Dieser Leitfaden hilft Security Engineers und Maintainers dabei, die Einsatzbereitschaft einzuschätzen, Build-Blocker zu erkennen und einen praktischen Weg vom Source Tree zu OSS-Fuzz oder einer privaten Fuzzing-Infrastruktur vorzubereiten.

Security Audit

Favoriten 0GitHub 5k

codeql

von trailofbits

Die codeql-Skill hilft dir, CodeQL bei einem Security Audit mit weniger blinden Flecken einzusetzen. Der Fokus liegt auf Datenbankqualität, Suite-Auswahl, Data Extensions und SARIF-Review, damit du codeql zuverlässiger über unterstützte Sprachen hinweg verwenden kannst. Nutze sie für wiederholbare codeql-Anleitungsschritte bei der Analyse realer Repositories.

Security Audit

Favoriten 0GitHub 5k

semgrep-rule-creator

von trailofbits

semgrep-rule-creator erstellt Semgrep-Regeln in Produktionsqualität für Sicherheitslücken, Bug-Muster, Taint-Flow-Erkennungen und Coding-Standards. Verwenden Sie den semgrep-rule-creator Skill für Security-Audit-Aufgaben, wenn Sie präzise Regeln, Testfälle und Validierung statt eines generischen Entwurfs brauchen.

Security Audit

Favoriten 0GitHub 5k

insecure-defaults

von trailofbits

Die insecure-defaults Skill hilft dabei, Fail-Open-Konfigurationsmuster zu erkennen, bei denen Software mit unsicheren Einstellungen weiterläuft, statt abzubrechen. Verwenden Sie sie für ein Security Audit von Produktionscode, Deployment-Konfigurationen und Logik zur Secret-Verarbeitung, um schwache Authentifizierung, hartcodierte Geheimnisse und zu freizügige Standardwerte aufzudecken.

Security Audit

Favoriten 0GitHub 5k

constant-time-analysis

von trailofbits

constant-time-analysis ist eine Security-Audit-Skill zum Finden von Timing-Side-Channel-Risiken in kryptografischem Code, bevor sie zu ausnutzbaren Bugs werden. Nutze sie, um geheimnisabhängige Mathematik, Verzweigungen, Vergleiche und kompilierten Output zu prüfen, wenn du C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python oder Ruby analysierst.

Security Audit

Favoriten 0GitHub 5k

secure-workflow-guide

von trailofbits

secure-workflow-guide führt durch einen 5-stufigen Solidity-Security-Workflow: Slither-Triage, funktionsspezifische Checks, visuelle Prüfung, Notizen zu Security-Properties und manuelle Review. Die Skill ist für Smart-Contract-Teams, Auditoren und Entwickler gedacht, die vor Deployment oder Release einen wiederholbaren secure-workflow-guide benötigen.

Security Audit

Favoriten 0GitHub 4.9k