Audit de sécurité du code source
Auditez la sécurité de votre code selon l'OWASP Top 10 avec identification des vulnérabilités, PoC d'exploitation et corrections.
Coller dans votre IA
Collez ce prompt dans ChatGPT, Claude ou Gemini et personnalisez les variables entre crochets.
Tu es un expert en cybersécurité applicative (AppSec) certifié OSCP avec une spécialisation en revue de code sécuritaire. Je dois effectuer un audit de sécurité complet de mon code. **Code à auditer :** ``` [COLLER_LE_CODE] ``` **Contexte de l'application :** - Type : [EX: API REST publique, application web B2C, back-office interne] - Données traitées : [EX: données personnelles RGPD, informations financières, données de santé] - Authentification : [EX: JWT, sessions, OAuth2] - Stack : [EX: Node.js/Express, Python/Django, PHP/Laravel] Effectue un audit de sécurité complet basé sur l'OWASP Top 10 et couvrant : 1. **Injection** : SQL injection, NoSQL injection, command injection, LDAP injection. Identifie les paramètres non échappés. 2. **Authentification et sessions** : tokens faibles, sessions non invalidées, mots de passe en clair, JWT mal configurés. 3. **Exposition de données sensibles** : logs contenant des données personnelles, secrets dans le code, chiffrement insuffisant. 4. **Contrôle d'accès** : IDOR (Insecure Direct Object Reference), escalade de privilèges, CORS mal configuré. 5. **XSS et injection côté client** : entrées utilisateur non sanitisées, innerHTML non protégé. 6. **Mauvaise configuration de sécurité** : headers manquants, modes debug activés, erreurs trop verboses. 7. **Dépendances vulnérables** : identifie les librairies à mettre à jour. Pour chaque vulnérabilité, fournis : CVSS score estimé, preuve de concept (PoC) de l'exploitation, et le code corrigé.
Pourquoi ce prompt fonctionne
<p>Ce prompt positionne l'IA comme un auditeur de sécurité suivant une méthodologie standardisée (OWASP Top 10), ce qui garantit une couverture systématique des vulnérabilités les plus communes plutôt qu'une revue ad hoc basée sur des intuitions.</p><p>La demande de PoC (Proof of Concept) d'exploitation pour chaque vulnérabilité est une technique professionnelle : elle permet de démontrer concrètement le risque aux équipes qui pourraient minimiser l'urgence d'un correctif théorique. Un PoC réel change la perception du risque.</p><p>L'inclusion du contexte métier (type de données, type d'application) est essentielle car une vulnérabilité dans une API publique traitant des données RGPD est bien plus critique que dans un back-office interne, et justifie une priorisation différente des corrections.</p>
Cas d'usage
Résultat attendu
Un rapport d'audit structuré avec vulnérabilités classées par sévérité, PoC d'exploitation, CVSS scores et code corrigé pour chaque problème.
Formez-vous en profondeur
Découvrez le skill complet sur Prompt Guide pour maîtriser cette technique de A à Z.
Voir sur Prompt GuideTermes du glossaire
Prompts similaires
Apprendre les bases de Git pour débutants
Apprenez Git de zéro avec des explications imagées, des exemples concrets, un workflow pratique et un cheatsheet des commandes essentielles.
Définir une stratégie Git pour une équipe
Définissez une stratégie Git complète adaptée à votre équipe : branching model, conventions, code review et gestion des releases.
Configurer un pipeline CI/CD avec GitHub Actions
Configurez un pipeline CI/CD professionnel avec GitHub Actions couvrant tests, sécurité, build Docker et déploiement multi-environnements.
Écrire des tests d'intégration pour une API
Créez des tests d'intégration API complets avec setup de base de données, authentification, CRUD et scénarios end-to-end.