detecting-oauth-token-theft

por mukul975

detecting-oauth-token-theft ajuda a investigar roubo, replay e sequestro de sessão de tokens OAuth no Microsoft Entra ID e no M365. Use esta skill detecting-oauth-token-theft em revisão de Segurança/Auditoria, resposta a incidentes e avaliações de hardening. Ela foca em anomalias de login, escopos suspeitos, novos dispositivos e etapas de contenção.

Estrelas0

Favoritos0

Comentários0

Adicionado11 de mai. de 2026

CategoriaSecurity Audit

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-oauth-token-theft

Pontuação editorial

Esta skill recebe 78/100, o que indica que é uma boa candidata para usuários do diretório: o gatilho é claro, há conteúdo real de fluxo de trabalho e a solução inclui tanto orientação de detecção quanto código de apoio. Ainda assim, os usuários devem esperar algumas lacunas de implementação, especialmente em setup e onboarding operacional de ponta a ponta, mas ela é útil o bastante para instalar se o foco for investigação de identidade em nuvem em cenários de Microsoft Entra ID / roubo de token OAuth.

78/100

Pontos fortes

Forte acionabilidade: o frontmatter e a seção 'When to Use' apontam claramente para roubo de token OAuth, replay, abuso de PRT, pass-the-cookie e investigação no Entra ID.
Conteúdo operacional real: o repositório inclui um script de detecção em Python e exemplos de referência de API para Microsoft Graph e logs do Okta, dando aos agentes alavancagem concreta de fluxo de trabalho.
Boa clareza na decisão de instalação: a documentação estabelece um limite explícito de não uso para ataques on-premises com ticket Kerberos, reduzindo a ambiguidade para os agentes.

Pontos de atenção

Não há comando de instalação e os arquivos de suporte são limitados, então os usuários podem precisar de integração manual em vez de uma experiência de instalação pronta para uso.
As evidências mostram lógica de detecção e exemplos, mas não um playbook de resposta a incidentes totalmente ponta a ponta; a adoção pode exigir adaptação aos esquemas de logs e ambientes locais.

Security Cloud Security Azure Microsoft 365 Entra Id Oauth2 Conditional Access Openid Connect

Visão geral

Visão geral do skill detecting-oauth-token-theft

O skill detecting-oauth-token-theft ajuda você a investigar e reduzir roubo de token OAuth, replay e sequestro de sessão em ambientes de identidade em nuvem, especialmente no Microsoft Entra ID e em fluxos de segurança relacionados ao M365. Ele é mais útil em uma Security Audit, em resposta a incidentes ou em uma revisão de hardening quando você precisa transformar evidências de login em um plano concreto de detecção ou contenção.

Para que este skill serve

Use o skill detecting-oauth-token-theft quando a pergunta não for “o que é OAuth?”, mas sim “como eu provo abuso de token, encontro o raio de impacto e detecto isso mais cedo na próxima vez?”. Ele se concentra em indicadores práticos como viagem impossível, dispositivos desconhecidos, uso repetido de token a partir de múltiplos IPs, escopos de risco e anomalias de sign-in.

Leitores e equipes ideais

Este skill é uma boa opção para cloud security engineers, defensores de identidade, analistas de SOC e auditores que trabalham em ambientes pesados de Microsoft Entra ID. Ele é especialmente relevante quando você já tem sign-in logs, políticas de conditional access ou telemetria de identity protection e precisa de uma forma guiada de interpretar esses dados.

Por que ele se destaca

Ao contrário de um prompt genérico, este skill detecting-oauth-token-theft é ancorado em um fluxo de trabalho e em lógica de detecção, não apenas em conselhos. O repositório inclui um script, um documento de referência com campos de log e mapeamentos de escopo, além de padrões concretos de ataque como roubo de access token, replay de refresh token, abuso de Primary Refresh Token e ataques de pass-the-cookie.

Como usar o skill detecting-oauth-token-theft

Instale e carregue no seu fluxo de trabalho

Instale o skill detecting-oauth-token-theft com:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-oauth-token-theft

Depois da instalação, comece lendo SKILL.md, depois references/api-reference.md e scripts/agent.py. Esses três arquivos mostram o que o skill detecta, quais dados ele espera e como a lógica de detecção é implementada.

Forneça o contexto certo do incidente

O skill funciona melhor quando você entrega uma entrada estruturada: tipo de tenant, plataforma de identidade, origem do alerta, janela de tempo, usuário(s) afetado(s), IPs suspeitos e qualquer pista conhecida de token ou dispositivo. Um prompt fraco diz “verifique roubo de OAuth”; um prompt mais forte diz:

“Investigue possível roubo de token OAuth no Microsoft Entra ID para o usuário alice@contoso.com entre 08:00 e 12:00 UTC. Observamos viagem impossível, um novo dispositivo e sign-ins repetidos de dois países. Recomende o caminho de abuso mais provável, consultas de log e etapas de contenção.”

Esse tipo de prompt dá ao skill detalhe suficiente para retornar orientação de detecção realmente utilizável, em vez de teoria ampla.

Leia os arquivos nesta ordem

Comece com SKILL.md para entender escopo e pré-requisitos, depois references/api-reference.md para campos de log, escopos sensíveis e exemplos de consulta. Use scripts/agent.py como pista de implementação: ele mostra quais condições pesam mais, incluindo verificações de velocidade entre geolocalização e horário, novidade de dispositivo e padrões de uso repetido.

Dicas práticas de uso

Alimente o skill com evidência real de sign-in, não apenas com o título de um alerta. A saída melhora quando você inclui timestamps, IPs de origem, IDs de dispositivo, nomes de recursos e códigos de status de sign-in. Se você estiver usando o skill para Security Audit, peça que ele separe controles de detecção, etapas de investigação e controles de prevenção, para que o resultado fique mais fácil de transformar em relatório ou runbook.

FAQ do skill detecting-oauth-token-theft

Isso serve só para Microsoft Entra ID?

Não. O Microsoft Entra ID é o principal foco de projeto, mas as ideias de detecção também se aplicam a outros provedores de identidade, desde que eles exponham telemetria equivalente de sign-in, dispositivo e uso de token. Se sua plataforma não fornece esses campos, o skill fica menos adequado.

Em que ele é diferente de um prompt normal?

Um prompt comum pode gerar conselhos genéricos de segurança de identidade. O skill detecting-oauth-token-theft é melhor quando você quer um fluxo de trabalho repetível que começa nos logs, procura indicadores específicos de replay e conecta os achados a decisões de conditional access ou de token protection.

Ele é amigável para iniciantes?

Sim, desde que você já conheça a terminologia básica de identidade. Ele é amigável para iniciantes na investigação porque aponta para as evidências certas, mas não substitui o acesso aos logs do seu tenant nem um entendimento funcional dos dados de sign-in do Entra ID.

Quando eu não devo usá-lo?

Não use para abuso de ticket Kerberos, comprometimento de domain controller ou outros ataques on-premises de AD. Esses problemas exigem técnicas de investigação diferentes e telemetria diferente da que o detecting-oauth-token-theft cobre.

Como melhorar o skill detecting-oauth-token-theft

Forneça evidências de melhor qualidade

A maior melhoria vem de dados de entrada melhores. Inclua timestamps exatos, nome do tenant, user principal names, endereços IP, IDs de dispositivo, pistas geográficas e se MFA ou conditional access foram aprovados. Quando puder, cole uma pequena amostra de log em vez de resumir tudo.

Peça um tipo de saída por vez

O skill funciona melhor quando você separa os objetivos. Por exemplo, peça primeiro “hipótese de abuso mais provável e indicadores de suporte”, depois “consultas de log” e, por fim, “controles de contenção e prevenção”. Isso mantém o guia detecting-oauth-token-theft focado e reduz saídas vagas e misturadas.

Ajuste para o seu ambiente

Se sua organização usa Okta, identidade híbrida ou múltiplos tenants do M365, deixe isso claro desde o início. A lógica de detecção em references/api-reference.md e scripts/agent.py é útil, mas talvez seja necessário adaptar nomes de campos, fontes de log e limites de risco antes que o resultado fique operacional.

Itere com a primeira resposta

Trate a primeira saída como um rascunho de caminho de investigação. Se ela deixar passar um sign-in importante, adicione mais telemetria e rode de novo com uma janela menor ou uma hipótese mais forte, como “replay de token após mudança de dispositivo” ou “abuso de escopo após consentimento”. Essa é a forma mais rápida de obter resultados melhores do detecting-oauth-token-theft para Security Audit ou resposta a incidentes.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

security-threat-model

por openai

Skill security-threat-model baseada no repositório para threat modeling em AppSec. Ela mapeia fronteiras de confiança, ativos, objetivos do atacante, caminhos de abuso e mitigações em um threat model conciso em Markdown. Use quando precisar de security-threat-model para Threat Modeling em um repositório ou caminho específico, e não de uma revisão genérica de arquitetura ou de uma checagem de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner é uma skill focada de auditoria de segurança para Solana, voltada para programas nativos em Rust e Anchor. Ela ajuda a revisar lógica de CPI, validação de PDA, verificações de signer e ownership, além de spoofing de sysvar, para identificar seis vulnerabilidades críticas específicas de Solana antes do deploy.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ajuda a analisar textos e imagens em busca de conteúdo nocivo com o Azure AI Content Safety em TypeScript. Use esta skill para fluxos de moderação, blocklists e verificações de auditoria de segurança para ódio, violência, conteúdo sexual e autoagressão. Ela também cobre a configuração do endpoint e da autenticação no Azure.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

A skill sharp-edges ajuda você a encontrar APIs, configurações e interfaces em que o caminho mais fácil leva a um uso inseguro. Use-a para revisar fluxos de autenticação, wrappers criptográficos, padrões perigosos de default, semântica de null ou zero e escolhas de design propensas a uso indevido. É uma ótima opção para trabalhos de sharp-edges em Auditoria de Segurança quando você precisa de armadilhas concretas, não de palpites genéricos sobre segurança.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Use a skill security-review para revisar autenticação, entrada de usuário, segredos, APIs, pagamentos, uploads e outros fluxos sensíveis. Ela oferece um guia prático de revisão de segurança com checks claros de aprovação/reprovação, exemplos de padrões arriscados e um processo focado para identificar problemas comuns antes do lançamento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

A skill de exploração de armazenamento inseguro em mobile ajuda a avaliar e extrair evidências de armazenamento local inseguro em apps Android e iOS. Ela cobre SharedPreferences, bancos SQLite, arquivos plist, arquivos legíveis por todos, exposição por backup e tratamento fraco de keychain/keystore, apoiando fluxos de mobile pentesting e Security Audit.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

O building-incident-response-playbook ajuda equipes de segurança a criar playbooks de resposta a incidentes reutilizáveis, com fases passo a passo, árvores de decisão, critérios de escalonamento, definição de responsabilidades em RACI e estrutura pronta para SOAR. Ele foi pensado para documentação de procedimentos de resposta a incidentes, fluxos de triagem e planos operacionais de resposta com foco em auditoria.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ajuda equipes a criar um processo repetível para Microsoft Patch Tuesday, com triagem de advisories, priorização de risco, testes de patches, aprovação de rollout e acompanhamento de conformidade. É útil para operações de segurança, gestão de vulnerabilidades e para building-patch-tuesday-response-process em gestão de projetos.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprenda a skill ossfuzz para configuração de fuzzing contínuo, inscrição de projetos, planejamento de harnesses e revisão do fluxo de build. Este guia ajuda engenheiros de segurança e mantenedores a avaliar a prontidão, identificar bloqueios de build e preparar um caminho prático do código-fonte até o OSS-Fuzz ou uma infraestrutura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

O skill codeql ajuda você a usar o CodeQL com menos pontos cegos durante uma auditoria de segurança. Ele foca na qualidade do banco de dados, na seleção de suites, em extensões de dados e na revisão de SARIF, para que você possa usar o codeql de forma mais confiável entre as linguagens compatíveis. Use-o para seguir etapas repetíveis do guia codeql ao analisar repositórios reais.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

O semgrep-rule-creator cria regras do Semgrep com qualidade de produção para vulnerabilidades de segurança, padrões de bugs, detecções de taint-flow e padrões de codificação. Use o skill semgrep-rule-creator para trabalho de Auditoria de Segurança quando precisar de regras precisas, casos de teste e validação, em vez de um rascunho genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

A skill insecure-defaults ajuda a identificar padrões de configuração fail-open que fazem o software continuar executando com definições inseguras em vez de parar. Use em uma Security Audit de código em produção, configurações de deployment e lógica de tratamento de secrets para detectar autenticação fraca, secrets hardcoded e defaults permissivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis é uma skill de auditoria de segurança para encontrar riscos de side-channel de tempo em código criptográfico antes que virem bugs exploráveis. Use-a para revisar matemática, branches, comparações e saída compilada dependentes de segredo ao analisar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide orienta um fluxo de trabalho de segurança em 5 etapas para Solidity: triagem com Slither, checagens específicas por recurso, inspeção visual, anotações de propriedades de segurança e revisão manual. Foi feito para equipes de smart contracts, auditores e builders que querem um guia repeatable de secure-workflow-guide antes do deploy ou do release.

Security Audit

Favoritos 0GitHub 4.9k