attack-tree-construction

par wshobson

attack-tree-construction aide à construire des arbres d’attaque structurés pour le Threat Modeling, avec des objectifs racines clairs, des branches AND/OR et des attaques terminales testables. Utilisez-le pour cartographier les chemins d’attaque, mettre en évidence les failles de défense et appuyer la revue de sécurité, les tests et la planification des mesures d’atténuation.

Étoiles32.6k

Favoris0

Commentaires0

Ajouté30 mars 2026

CatégorieThreat Modeling

Commande d’installation

npx skills add wshobson/agents --skill attack-tree-construction

Score éditorial

Cette compétence obtient un score de 76/100, ce qui en fait une fiche solide pour l’annuaire : l’utilisateur dispose d’un guide substantiel et bien délimité pour construire des arbres d’attaque, et un agent a davantage de chances d’exécuter cette tâche de manière cohérente qu’à partir d’un simple prompt générique. La note reste toutefois limitée par un faible niveau d’encadrement opérationnel au-delà du document principal ; il faut donc s’attendre à un workflow conceptuel robuste plutôt qu’à un package outillé prêt à l’emploi.

76/100

Points forts

Déclenchement clair : le frontmatter et la section « When to Use » cadrent explicitement l’usage de la construction d’arbres d’attaque pour la cartographie des menaces, l’analyse des lacunes défensives, la communication avec les parties prenantes, la planification de pentest et la revue d’architecture.
Workflow riche en contenu : le fichier SKILL.md est long et structuré, avec des sections sur la structure de l’arbre, les types de nœuds et les attributs d’attaque, ce qui fournit aux agents des conventions réutilisables plutôt qu’un guidage improvisé.
Bonne progression pédagogique dans un seul fichier : les titres, tableaux et blocs de code laissent penser que la compétence transmet les concepts et les modèles de formatage d’une manière qu’un agent peut suivre rapidement.

Points de vigilance

Aucun asset, script, référence ni repère vers un repo/fichier n’est fourni ; les utilisateurs doivent donc s’appuyer presque entièrement sur les indications rédactionnelles de SKILL.md.
Il n’existe ni commande d’installation ni wrapper opérationnel externe, ce qui réduit la confiance des utilisateurs qui attendent un workflow plus clé en main ou mieux intégré à un outil.

Security Strategy Workflow Playbook

Vue d’ensemble

Vue d’ensemble de la skill attack-tree-construction

Ce que fait attack-tree-construction

La skill attack-tree-construction aide un agent à construire des arbres d’attaque structurés pour le Threat Modeling : un objectif racine de l’attaquant, des sous-objectifs décomposés, et des étapes d’attaque terminales reliées par une logique AND et OR. Elle est particulièrement utile quand vous avez besoin d’une vision claire de la manière dont un attaquant pourrait atteindre un résultat cible, et pas simplement d’une liste plate de menaces.

À qui s’adresse cette skill

Cette attack-tree-construction skill convient aux architectes sécurité, aux ingénieurs appsec, aux red teamers, aux développeurs en revue de conception et aux responsables techniques qui doivent expliquer des chemins d’attaque à d’autres personnes. Elle est particulièrement utile lorsque le système est suffisamment complexe pour que le brainstorming classique produise des menaces dispersées, dupliquées ou mal priorisées.

Le vrai besoin auquel elle répond

La plupart des utilisateurs ne veulent pas simplement “plus de menaces”. Ils veulent un modèle exploitable :

visualiser plusieurs façons pour un attaquant d’atteindre un même objectif
distinguer les chemins alternatifs des étapes obligatoirement enchaînées
repérer les contrôles faibles et les points uniques de défaillance
alimenter la revue, les tests et la planification des mitigations

C’est là que attack-tree-construction for Threat Modeling est plus solide qu’un prompt générique demandant simplement des “risques de sécurité”.

Ce qui la distingue d’un prompt de threat modeling générique

Le principal différenciateur, c’est la structure. La skill repose sur la mécanique des arbres d’attaque :

un objectif racine unique
des branchements AND vs OR explicites
des étapes d’attaque au niveau feuille
des attributs d’attaque comme le coût, le temps, le niveau de compétence, la détection et l’impact

Cette structure améliore la traçabilité et rend le résultat plus facile à critiquer, enrichir ou transformer en cas de test.

Ce qu’il faut savoir avant de l’installer

Le signal donné par le dépôt est simple : cette skill est principalement contenue dans SKILL.md, sans scripts auxiliaires ni fichiers de support. L’attack-tree-construction install est donc léger, mais cela veut aussi dire que la qualité du résultat dépend fortement du contexte que vous fournissez. Si la description de votre système est vague, l’arbre le sera aussi.

Comment utiliser la skill attack-tree-construction

Contexte d’installation pour attack-tree-construction

Installez la skill depuis le dépôt wshobson/agents :

npx skills add https://github.com/wshobson/agents --skill attack-tree-construction

Comme la skill se présente sous la forme d’un workflow markdown unique, il n’y a ni configuration d’exécution supplémentaire ni chaîne de dépendances à gérer.

Commencez par lire ce fichier

Commencez par :

plugins/security-scanning/skills/attack-tree-construction/SKILL.md

Ce fichier contient le cœur du modèle : quand utiliser la skill, la structure de l’arbre d’attaque, les types de nœuds et les attributs d’attaque. Comme il n’y a ni références complémentaires ni scripts dans ce dossier de skill, lire SKILL.md suffit pour comprendre le workflow prévu.

Le meilleur format d’entrée pour utiliser attack-tree-construction

Pour une attack-tree-construction usage de qualité, fournissez :

le système ou la fonctionnalité modélisée
l’objectif de l’attaquant en une phrase
les frontières de confiance et les points d’entrée
les actifs majeurs et les actions sensibles
les contrôles déjà en place
les hypothèses et les limites de périmètre

Bon exemple d’entrée :

Système : portail d’administration SaaS multi-tenant
Objectif racine : obtenir un accès administrateur non autorisé à l’échelle d’un tenant
Points d’entrée : login, réinitialisation de mot de passe, callback SSO, workflow d’impersonation du support, API publique
Actifs : tokens de session, attribution du rôle admin, export des données du tenant
Contrôles existants : MFA pour les admins, journaux d’audit, rate limiting sur le login
Contraintes : exclure l’accès physique et les abus internes

C’est bien meilleur que “fais un arbre d’attaque pour mon application web”, car cela donne à la skill suffisamment de matière pour créer des branches réalistes.

Transformer une demande vague en prompt solide

Prompt faible :

“Use attack-tree-construction to analyze my platform.”

Prompt plus solide :

“Use the attack-tree-construction skill to build an attack tree for the goal ‘extract customer PII from the billing service.’ Use AND and OR nodes explicitly, stop at leaf attacks that are concrete enough to test, and annotate leaves with cost, time, skill, detection difficulty, and impact. Consider web app, API, CI/CD secrets, and support workflows. Exclude nation-state capabilities.”

La version plus solide améliore :

la clarté de l’objectif racine
la profondeur de décomposition
la qualité des branches
la valeur de priorisation

Choisir le bon objectif racine

Une erreur fréquente consiste à définir une racine trop large, par exemple “compromise the company”. De meilleurs objectifs racine sont des résultats d’attaque précis :

obtenir un accès privilégié à la console
exfiltrer des données de paiement
déployer du code malveillant en production
contourner l’isolation entre tenants
désactiver les logs avant une fraude

Une racine précise permet au attack-tree-construction guide de produire un arbre plus propre et de limiter le mélange entre catégories de menaces.

Utiliser les nœuds AND et OR de façon intentionnelle

Cette skill est particulièrement utile si vous rendez explicite la logique de branchement :

utilisez OR lorsqu’un seul chemin suffit
utilisez AND lorsque plusieurs conditions ou étapes sont nécessaires

Exemple :

Racine : voler un compte utilisateur
- OR : credential stuffing
- OR : vol de token de session
- AND : réinitialiser le mot de passe + contrôler la boîte mail

Sans cette distinction, le résultat ressemble à une liste à puces plutôt qu’à un véritable arbre d’attaque.

Demander des nœuds feuilles testables

Demandez à l’agent d’arrêter la décomposition lorsqu’une feuille est :

suffisamment concrète pour être validée
distincte des feuilles sœurs
autre chose qu’une simple reformulation du nœud parent

Bonnes feuilles :

réutiliser des identifiants compromis contre le login admin
exploiter l’absence de contrôle d’authentification sur l’endpoint de mise à jour de rôle
voler la session d’un agent support via phishing

Feuilles faibles :

casser la sécurité
exploiter une vulnérabilité
obtenir un accès d’une manière ou d’une autre

Des feuilles testables rendent la skill plus utile pour le red teaming, la revue d’architecture et le mapping des mitigations.

Demander des attributs d’attaque pour prioriser

La skill inclut des attributs d’attaque, donc demandez-les. Les annotations utiles au niveau feuille incluent :

coût
temps
niveau de compétence requis
probabilité de détection ou difficulté de détection
impact

Ces attributs aident à transformer l’arbre en outil de décision. Si deux branches mènent au même objectif, les équipes s’intéressent généralement d’abord au chemin le moins coûteux, le plus rapide et le moins détectable.

Workflow recommandé en pratique

Un flux attack-tree-construction usage pragmatique :

Définir un objectif d’attaquant unique.
Fournir le contexte d’architecture et de périmètre.
Générer un premier arbre.
Retirer les branches dupliquées ou trop floues.
Ajouter des attributs aux feuilles.
Relire les branches à la lumière des contrôles existants.
Sélectionner les principaux chemins à mitiger ou à tester.

Ne commencez pas en demandant “tous les arbres d’attaque possibles” sur l’ensemble de l’environnement. Un objectif racine par passe donne de bien meilleurs résultats.

Où cette skill s’intègre dans le Threat Modeling

attack-tree-construction for Threat Modeling fonctionne le mieux une fois que vous comprenez le système à un niveau global et avant de finaliser les mitigations. Elle est particulièrement adaptée pour :

creuser un cas d’abus à haut risque
expliquer pourquoi un contrôle est important
comparer des chemins d’attaque alternatifs
sélectionner des scénarios pour les tests de sécurité

Elle est moins adaptée aux inventaires d’actifs larges ou aux checklists de contrôles orientées conformité.

Conseils pratiques qui changent vraiment la qualité du résultat

Pour améliorer immédiatement votre attack-tree-construction usage :

incluez des chemins non techniques, comme les workflows support ou la réinitialisation de mot de passe
listez les contrôles déjà en place pour que l’arbre reflète les tentatives de contournement
séparez les surfaces d’attaque cloud, applicatives, identitaires et humaines
demandez au modèle de signaler ses hypothèses lorsque des éléments manquent
limitez la profondeur de l’arbre si le premier résultat devient trop bruité

L’un des plus gros gains de qualité vient du fait de nommer explicitement les interfaces et les actions privilégiées, au lieu de décrire le système avec un vocabulaire marketing.

FAQ sur la skill attack-tree-construction

attack-tree-construction convient-il aux débutants

Oui, à condition de déjà bien comprendre le système modélisé. La structure aide les débutants à éviter les listes de menaces aléatoires. Mais ils doivent tout de même fournir le périmètre, les actifs et les objectifs de l’attaquant ; la skill ne remplace pas la connaissance du système.

Quand utiliser attack-tree-construction plutôt qu’un prompt normal

Utilisez attack-tree-construction lorsque vous avez besoin d’une logique de branchement, d’une comparaison de chemins d’attaque et d’un modèle que vous pouvez revoir avec d’autres. Un prompt normal convient pour un brainstorming rapide, mais il mélange souvent préconditions, actions et résultats sans relations claires.

Est-ce réservé à la sécurité applicative

Non. La attack-tree-construction skill peut aussi être utilisée pour l’infrastructure, l’identité, le CI/CD, les workflows proches des menaces internes et les cas d’abus opérationnels, tant que vous pouvez définir un objectif racine d’attaquant et des sous-objectifs pertinents.

Quand attack-tree-construction est-il un mauvais choix

Ce n’est pas un bon choix lorsque :

votre périmètre n’est pas encore défini
vous avez besoin d’une énumération complète des menaces sur de nombreux objectifs sans lien
vous cherchez un mapping de conformité plutôt qu’un raisonnement d’attaquant
la description du système est trop vague pour produire des feuilles concrètes

Dans ces cas-là, commencez par le cadrage ou par un threat modeling plus global.

La skill inclut-elle de l’automatisation ou des templates

Très peu. D’après la structure du dépôt, la skill est pilotée par le document et réside dans SKILL.md sans scripts auxiliaires ni ressources de référence. Cela simplifie l’adoption, mais cela signifie aussi que la qualité de vos prompts compte davantage que le support outillé.

Puis-je utiliser attack-tree-construction pour communiquer avec des parties prenantes

Oui. C’est même l’un de ses meilleurs usages. Les arbres d’attaque communiquent le risque plus clairement qu’un long texte, parce qu’ils montrent comment des chemins alternatifs ou enchaînés mènent au même impact métier.

Comment améliorer la skill attack-tree-construction

Donnez un meilleur contexte système, pas juste plus de texte

Le moyen le plus rapide d’améliorer les résultats de attack-tree-construction est de fournir des faits structurés :

composants
utilisateurs et rôles
frontières de confiance
opérations sensibles
points d’entrée
défenses existantes

Un brief système court et précis bat systématiquement une longue description générique.

Réduisez l’objectif avant d’élargir l’arbre

Si le premier résultat semble superficiel ou chaotique, c’est généralement que l’objectif racine est trop large. Découpez “compromise the platform” en objectifs plus resserrés, puis exécutez la attack-tree-construction skill séparément pour chacun.

Poussez le modèle à inclure les chemins souvent oubliés

De nombreux arbres de premier jet survalorisent les exploits techniques directs. Demandez explicitement des branches couvrant :

les workflows d’identité et d’accès
la récupération d’identifiants
les intégrations tierces
le CI/CD et la gestion des secrets
les outils d’administration ou de support
les abus de mauvaise configuration

Cela fait souvent remonter des chemins plus réalistes que des arbres focalisés uniquement sur les vulnérabilités.

Supprimez les nœuds vagues et imposez une décomposition concrète

Modes d’échec fréquents :

le parent et l’enfant disent presque la même chose
les feuilles ne sont pas actionnables
les branches mélangent objectifs d’attaquant et mitigations
l’arbre s’arrête avant un niveau de précision utile

Pour corriger cela, demandez :

“Rewrite vague leaves into concrete attacker actions.”
“Separate preconditions from exploit steps.”
“Stop only when each leaf can be tested or mitigated directly.”

Ajoutez une itération tenant compte des contrôles après le premier jet

Un bon second passage consiste à :

marquer les branches déjà affaiblies par les contrôles en place
identifier les branches sans contrôle réellement significatif
estimer quels chemins à faible coût restent viables
proposer des mitigations au niveau branche ou feuille

C’est ce qui fait passer attack-tree-construction for Threat Modeling de l’analyse à la priorisation.

Comparez les arbres selon différentes hypothèses d’attaquant

Si le résultat semble peu réaliste, faites varier le modèle d’attaquant :

attaquant externe opportuniste
utilisateur authentifié à faibles privilèges
intégrateur malveillant
attaquant capable de phishing

En pratique, la meilleure façon d’améliorer le attack-tree-construction guide consiste à générer des arbres séparés par profil d’attaquant, plutôt que de forcer un seul arbre à couvrir tous les types de menace.

Utilisez le résultat comme un artefact de revue vivant

Les équipes qui en tirent le plus de valeur ne génèrent pas un arbre une fois pour toutes. Elles le mettent à jour lorsque :

l’architecture change
de nouveaux contrôles sont déployés
des incidents révèlent des branches manquées
des pentests valident ou éliminent certains chemins

C’est dans cet usage itératif que la attack-tree-construction skill devient plus précieuse qu’un prompt ponctuel.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

security-threat-model

par openai

Compétence security-threat-model ancrée dans le dépôt pour la modélisation des menaces AppSec. Elle cartographie les frontières de confiance, les actifs, les objectifs des attaquants, les chemins d’abus et les mesures de mitigation dans un modèle de menaces Markdown concis. À utiliser lorsque vous avez besoin de security-threat-model pour une Threat Modeling sur un dépôt ou un chemin précis, et non d’une revue d’architecture générique ou d’une vérification de code.

Threat Modeling

Favoris 0GitHub 0

solana-vulnerability-scanner

par trailofbits

solana-vulnerability-scanner est un skill d’audit de sécurité Solana ciblé pour les programmes natifs Rust et Anchor. Il aide à examiner la logique CPI, la validation des PDA, les contrôles de signer et de propriété, ainsi que l’usurpation de sysvar afin de détecter six vulnérabilités critiques propres à Solana avant le déploiement.

Security Audit

Favoris 0GitHub 4.9k

exploiting-insecure-data-storage-in-mobile

par mukul975

La skill d’exploitation du stockage de données non sécurisé sur mobile aide à évaluer et à extraire des preuves à partir d’un stockage local vulnérable dans les apps Android et iOS. Elle couvre SharedPreferences, les bases de données SQLite, les fichiers plist, les fichiers lisibles par tous, l’exposition via les sauvegardes et la gestion faible des clés dans le keychain/keystore, pour des workflows de pentest mobile et d’audit de sécurité.

Security Audit

Favoris 0GitHub 6.2k

algorand-vulnerability-scanner

par trailofbits

algorand-vulnerability-scanner est une skill d’audit de sécurité pour Algorand TEAL et PyTeal. Elle aide à repérer 11 problèmes courants, notamment les attaques de rekeying, les lacunes de validation des frais, les vérifications de champs et les failles de contrôle d’accès. Utilisez la skill algorand-vulnerability-scanner pour une première revue pratique avant un audit manuel.

Security Audit

Favoris 0GitHub 4.9k

evaluating-threat-intelligence-platforms

par mukul975

evaluating-threat-intelligence-platforms vous aide à comparer les produits TIP selon l’ingestion de flux, la prise en charge de STIX/TAXII, l’automatisation, les workflows analystes, les intégrations et le coût total de possession. Utilisez ce guide evaluating-threat-intelligence-platforms pour les achats, une migration ou la planification de maturité, y compris l’évaluation de evaluating-threat-intelligence-platforms pour le Threat Modeling lorsque le choix de la plateforme influence la traçabilité et le partage des preuves.

Threat Modeling

Favoris 0GitHub 0

detecting-insider-threat-behaviors

par mukul975

La compétence detecting-insider-threat-behaviors aide les analystes à repérer des signaux de risque interne comme des accès inhabituels aux données, des activités hors horaires, des téléchargements massifs, des abus de privilèges et des vols corrélés à une démission. Utilisez ce guide detecting-insider-threat-behaviors pour la threat hunting, le triage de type UEBA et la modélisation des menaces, avec des modèles de workflow, des exemples de requêtes SIEM et des pondérations de risque.

Threat Modeling

Favoris 0GitHub 0

detecting-credential-dumping-techniques

par mukul975

La skill de détection des techniques de credential dumping vous aide à détecter les accès à LSASS, l’export SAM, le vol de NTDS.dit et l’abus de comsvcs.dll MiniDump à l’aide de l’Event ID 10 de Sysmon, des journaux de sécurité Windows et de règles de corrélation SIEM. Elle est conçue pour le threat hunting, l’ingénierie de détection et les workflows d’audit de sécurité.

Security Audit

Favoris 0GitHub 0

collecting-threat-intelligence-with-misp

par mukul975

La compétence collecting-threat-intelligence-with-misp vous aide à collecter, normaliser, rechercher et exporter la threat intelligence dans MISP. Utilisez ce guide collecting-threat-intelligence-with-misp pour les flux, les workflows PyMISP, le filtrage d’événements, la réduction des warninglists et des usages concrets de collecting-threat-intelligence-with-misp pour le Threat Modeling et les opérations CTI.

Threat Modeling

Favoris 0GitHub 0

analyzing-threat-intelligence-feeds

par mukul975

Analyzing-threat-intelligence-feeds vous aide à ingérer des flux CTI, normaliser des indicateurs, évaluer la qualité des flux et enrichir des IOC pour des workflows STIX 2.1. Ce skill analyzing-threat-intelligence-feeds est conçu pour les opérations de renseignement sur les menaces et l’analyse de données, avec des conseils pratiques pour TAXII, MISP et les flux commerciaux.

Data Analysis

Favoris 0GitHub 0

cosmos-vulnerability-scanner

par trailofbits

cosmos-vulnerability-scanner détecte les bugs critiques pour le consensus dans les modules Cosmos SDK, les contrats CosmWasm, les intégrations IBC et les stacks Cosmos EVM. Utilisez ce guide cosmos-vulnerability-scanner pour vos audits de sécurité, l’analyse des risques de blocage de chaîne, les scénarios de perte de fonds et les revues pré‑lancement.

Security Audit

Favoris 0GitHub 4.9k

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

detecting-email-forwarding-rules-attack

par mukul975

Le skill de détection des attaques par règles de transfert d’e-mail aide les équipes d’audit sécurité, de threat hunting et de réponse à incident à repérer les règles de transfert de boîtes aux lettres malveillantes utilisées pour la persistance et la collecte de courriels. Il guide les analystes à travers les indices Microsoft 365 et Exchange, les schémas de règles suspects et un triage pratique des comportements de transfert, de redirection, de suppression et de masquage.

Security Audit

Favoris 0GitHub 0

analyzing-ios-app-security-with-objection

par mukul975

La skill d’analyse de sécurité iOS avec Objection aide les testeurs autorisés à réaliser des vérifications de sécurité à l’exécution sur des apps iOS avec Objection et Frida. Utilisez-la pour examiner l’exposition du trousseau, le stockage sur le système de fichiers, les cookies, le SSL pinning, la détection de jailbreak et d’autres défenses côté client dans le cadre d’un audit de sécurité. Elle inclut des indications de workflow, des étapes d’installation et des conseils d’utilisation concrets.

Security Audit

Favoris 0GitHub 0

analyzing-heap-spray-exploitation

par mukul975

analyzing-heap-spray-exploitation aide à analyser l’exploitation par heap spray dans des dumps mémoire avec Volatility3. Il identifie les motifs de NOP sled, les allocations volumineuses suspectes, les zones d’atterrissage du shellcode et les indices VAD du processus pour les audits de sécurité, le triage de malware et la validation d’exploits.

Security Audit

Favoris 0GitHub 0

detecting-supply-chain-attacks-in-ci-cd

par mukul975

Skill de détection d'attaques de la chaîne d'approvisionnement en CI/CD pour auditer les configurations GitHub Actions et CI/CD. Il aide à repérer les actions non verrouillées, les injections de scripts, la confusion de dépendances, l’exposition de secrets et les autorisations risquées dans les workflows d’audit de sécurité. Utilisez-le pour examiner un dépôt, un fichier de workflow ou un changement de pipeline suspect avec des constats clairs et des correctifs concrets.

Security Audit

Favoris 0GitHub 0

detecting-api-enumeration-attacks

par mukul975

detecting-api-enumeration-attacks aide les équipes de Security Audit à détecter le probing d’API, les attaques BOLA et les IDOR en analysant les IDs séquentiels, les rafales de 404, les échecs d’autorisation et les chemins de découverte de la documentation. Conçu pour guider une détection pilotée par les logs, rédiger des règles et passer en revue concrètement les schémas d’abus d’API.

Security Audit

Favoris 0GitHub 0