Audit de sécurité du code source
Auditez la sécurité de votre code selon l'OWASP Top 10 avec identification des vulnérabilités, PoC d'exploitation et corrections.
Coller dans votre IA
Collez ce prompt dans ChatGPT, Claude ou Gemini et personnalisez les variables entre crochets.
Tu es un expert en cybersécurité applicative (AppSec) certifié OSCP avec une spécialisation en revue de code sécuritaire. Je dois effectuer un audit de sécurité complet de mon code. **Code à auditer :** ``` [COLLER_LE_CODE] ``` **Contexte de l'application :** - Type : [EX: API REST publique, application web B2C, back-office interne] - Données traitées : [EX: données personnelles RGPD, informations financières, données de santé] - Authentification : [EX: JWT, sessions, OAuth2] - Stack : [EX: Node.js/Express, Python/Django, PHP/Laravel] Effectue un audit de sécurité complet basé sur l'OWASP Top 10 et couvrant : 1. **Injection** : SQL injection, NoSQL injection, command injection, LDAP injection. Identifie les paramètres non échappés. 2. **Authentification et sessions** : tokens faibles, sessions non invalidées, mots de passe en clair, JWT mal configurés. 3. **Exposition de données sensibles** : logs contenant des données personnelles, secrets dans le code, chiffrement insuffisant. 4. **Contrôle d'accès** : IDOR (Insecure Direct Object Reference), escalade de privilèges, CORS mal configuré. 5. **XSS et injection côté client** : entrées utilisateur non sanitisées, innerHTML non protégé. 6. **Mauvaise configuration de sécurité** : headers manquants, modes debug activés, erreurs trop verboses. 7. **Dépendances vulnérables** : identifie les librairies à mettre à jour. Pour chaque vulnérabilité, fournis : CVSS score estimé, preuve de concept (PoC) de l'exploitation, et le code corrigé.
Pourquoi ce prompt fonctionne
<p>Ce prompt positionne l'IA comme un auditeur de sécurité suivant une méthodologie standardisée (OWASP Top 10), ce qui garantit une couverture systématique des vulnérabilités les plus communes plutôt qu'une revue ad hoc basée sur des intuitions.</p><p>La demande de PoC (Proof of Concept) d'exploitation pour chaque vulnérabilité est une technique professionnelle : elle permet de démontrer concrètement le risque aux équipes qui pourraient minimiser l'urgence d'un correctif théorique. Un PoC réel change la perception du risque.</p><p>L'inclusion du contexte métier (type de données, type d'application) est essentielle car une vulnérabilité dans une API publique traitant des données RGPD est bien plus critique que dans un back-office interne, et justifie une priorisation différente des corrections.</p>
Cas d'usage
Résultat attendu
Un rapport d'audit structuré avec vulnérabilités classées par sévérité, PoC d'exploitation, CVSS scores et code corrigé pour chaque problème.
Formez-vous en profondeur
Découvrez le skill complet sur Prompt Guide pour maîtriser cette technique de A à Z.
Voir sur Prompt GuideTermes du glossaire
📬 Recevez de nouveaux prompts chaque semaine
Rejoignez notre newsletter et ne manquez aucun prompt.
Prompts similaires
Concevoir une architecture microservices
Concevez une architecture microservices complète avec décomposition DDD, patterns de communication, résilience et observabilité.
Concevoir une stratégie de cache applicatif
Concevez une stratégie de cache Redis complète avec patterns appropriés, politique TTL, invalidation et protection contre les stampedes.
Optimiser les performances d'une application React
Optimisez votre application React pour atteindre d'excellentes métriques Core Web Vitals grâce à des techniques avancées de mémorisation et code splitting.
Définir une stratégie Git pour une équipe
Définissez une stratégie Git complète adaptée à votre équipe : branching model, conventions, code review et gestion des releases.