What is the difficulty level and which AI tool should I use?

This prompt is advanced level. It works with all AI tools (ChatGPT, Claude, Gemini, etc.).

💻DeveloppementAdvancedAll AIs

Secure a Web Application from A to Z

A comprehensive prompt to audit and secure a web application covering the OWASP Top 10, HTTP headers, authentication, input validation and secrets management.

Paste in your AI

Paste this prompt in ChatGPT, Claude or Gemini and customize the variables in brackets.

Tu es un expert en cybersécurité applicative spécialisé dans la sécurisation des applications web. Réalise un audit de sécurité complet pour mon application web avec les caractéristiques suivantes :

- Stack technique : [STACK_TECHNIQUE] (ex : Next.js + PostgreSQL, Django + MySQL, Laravel + Redis)
- Type d'application : [TYPE_APPLICATION] (ex : e-commerce, SaaS B2B, plateforme communautaire, backoffice interne)
- Niveau de sensibilité des données : [NIVEAU_SENSIBILITE] (ex : données personnelles RGPD, données bancaires PCI-DSS, données publiques uniquement)
- Environnement de déploiement : [ENVIRONNEMENT] (ex : AWS, VPS auto-hébergé, Vercel, Docker sur Kubernetes)

Pour chaque point, fournis :
1. **Analyse des vulnérabilités OWASP Top 10** : passe en revue chacune des 10 catégories (injection, broken authentication, sensitive data exposure, XXE, broken access control, security misconfiguration, XSS, insecure deserialization, using components with known vulnerabilities, insufficient logging) et évalue le risque spécifique à ma stack.

2. **Checklist de sécurisation prioritaire** : liste ordonnée par criticité des actions à mener, avec pour chacune un exemple de code ou de configuration concret adapté à ma stack.

3. **Headers HTTP de sécurité** : fournis la configuration complète recommandée (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy) avec les valeurs adaptées à mon type d'application.

4. **Authentification et gestion des sessions** : recommandations spécifiques (JWT vs sessions, durée de vie des tokens, refresh tokens, rate limiting, 2FA) avec implémentation concrète.

5. **Validation et sanitisation des entrées** : stratégie complète côté client et serveur, avec exemples de middleware ou de fonctions de validation pour ma stack.

6. **Sécurisation de la base de données** : requêtes paramétrées, principe du moindre privilège, chiffrement at rest et in transit, stratégie de backup sécurisé.

7. **Gestion des secrets et variables d'environnement** : bonnes pratiques pour le stockage, la rotation et l'injection des secrets en production.

8. **Logging et monitoring de sécurité** : quels événements logger, format recommandé, alertes à configurer, outils adaptés à mon environnement.

9. **Plan de réponse aux incidents** : procédure en cas de faille détectée, communication, rollback, et post-mortem.

Formate ta réponse avec des sections claires, du code concret quand pertinent, et priorise les recommandations par niveau de risque (critique, élevé, moyen, faible).

Why this prompt works

This prompt transforms the AI into a cybersecurity consultant who performs a personalized audit of your web application. By entering your tech stack, application type, data sensitivity level and deployment environment, you get concrete, tailored recommendations rather than generic advice.The 9-section structure covers the entire application security perimeter: from OWASP vulnerabilities to HTTP headers, through secrets management and incident response planning. Each section explicitly requests concrete code examples adapted to your stack, making recommendations directly actionable.Usage tip: first run the prompt with your variables, then dive deeper into each section individually for more detail. You can also paste excerpts of your code for a targeted security review of your existing implementations.

Use Cases

Audit application security before production deploymentPrepare a security checklist for a code reviewProperly configure HTTP headers and authenticationBring an application into compliance with OWASP standardsTrain a development team on security best practices

Expected Output

A structured audit report in 9 sections with OWASP risk analysis, prioritized checklist, HTTP header configurations, authentication recommendations, input validation examples, database and secrets management best practices, all with concrete code adapted to your tech stack.