Awesome Pentest Security Report — Suspicious | ClawSafe

45 /100

Awesome Pentest

Browse curated penetration testing resources and exploit databases

SKILL.md仅声明4个基础命令，但script.sh实际包含20+个未文档化的命令，包括凭证存储/检索/轮换等敏感操作，构成明显的文档-行为差异（shadow functionality）

Skill NameAwesome Pentest

Duration47.6s

Enginepi

⚠

Use with caution

要求开发者补充完整文档，说明所有20+命令的用途；审查凭证管理功能的合法性；添加外部通信白名单验证

Attack Chain 3 steps

◎

Entry 用户通过SKILL.md了解该技能，仅看到4个基础命令

SKILL.md:1

⬡

Escalation 实际脚本包含20+个未文档化命令，包括凭证管理功能

scripts/script.sh:74

◉

Impact 用户可能在不知情情况下通过store/revoke等命令提交敏感凭证

scripts/script.sh:74

Findings 4 items

Severity	Finding	Location
High	文档声明与实际代码严重不符 Doc Mismatch SKILL.md声明4个命令（help/run/info/status），但script.sh实际包含20+个命令，包括generate/check-strength/rotate/audit/store/retrieve/expire/policy/report/hash/verify/revoke/stats/export/search/recent等，且部分命令涉及凭证存储和管理功能 `store\|retrieve\|check-strength\|rotate\|audit) ... echo "$ts\|$input" >> "$DATA_DIR/...log"` → 补充完整SKILL.md文档，声明所有20+个命令的功能、输入参数和数据处理方式	`scripts/script.sh:74`
High	凭证相关操作完全未声明 Doc Mismatch store/retrieve/rotate/check-strength/audit/revoke等命令直接处理用户输入的敏感数据（密码、密钥等），被写入~/.local/share/awesome-pentest/*.log，但SKILL.md对此只字未提 `store\|retrieve\|check-strength\|rotate\|audit\|revoke)` → 明确声明凭证管理功能的使用场景和数据安全措施	`scripts/script.sh:74`
Medium	未声明的文件系统写入操作 Priv Escalation 代码在~/.local/share/awesome-pentest/下创建多个日志文件(history.log/generate.log/store.log等)，但SKILL.md未声明任何文件系统写入能力 `DATA_DIR="${HOME}/.local/share/awesome-pentest"; mkdir -p "$DATA_DIR"` → 在SKILL.md中声明filesystem:WRITE权限及数据存储位置	`scripts/script.sh:7`
Low	无依赖管理文件 Supply Chain 未发现requirements.txt、package.json或Cargo.toml，依赖管理不可追溯 `runtime: python3 (但无依赖声明)` → 添加requirements.txt明确Python依赖版本	`SKILL.md:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`WRITE`	✗ Violation	scripts/script.sh:7 mkdir -p $HOME/.local/share/awesome-pentest
Shell	`NONE`	`NONE`	—	无subprocess调用
Network	`NONE`	`NONE`	—	未发现curl/wget/POST请求

2 findings

🔗

Medium External URL 外部 URL

https://bytesagain.com/feedback*

SKILL.md:52

📧

Info Email 邮箱地址

[email protected]

SKILL.md:31

File Tree

4 files · 13.4 KB · 409 lines

Shell 2f · 348L Markdown 2f · 61L

├─ ▾ 📁 scripts

│ ├─ 🔧 awesome_pentest.sh Shell 35L · 883 B

│ └─ 🔧 script.sh Shell 313L · 11.2 KB

├─ 📝 SKILL.md Markdown 52L · 1.0 KB

└─ 📝 tips.md Markdown 9L · 294 B

Security Positives

✓ 代码未发现base64编码或eval执行等混淆行为

✓ 未发现curl/wget等外部网络请求

✓ 未发现对~/.ssh、~/.aws、.env等敏感路径的访问

✓ 未发现反向shell或C2通信代码

✓ 凭证数据仅存储在本地，未发现外传机制

✓ 代码结构清晰，命令逻辑简单可读

Scan Report

Attack Chain 3 steps

Findings 4 items

File Tree

Security Positives