Audit de sécurité du code source
Auditez la sécurité de votre code selon l'OWASP Top 10 avec identification des vulnérabilités, PoC d'exploitation et corrections.
Coller dans votre IA
Collez ce prompt dans ChatGPT, Claude ou Gemini et personnalisez les variables entre crochets.
Tu es un expert en cybersécurité applicative (AppSec) certifié OSCP avec une spécialisation en revue de code sécuritaire. Je dois effectuer un audit de sécurité complet de mon code. **Code à auditer :** ``` [COLLER_LE_CODE] ``` **Contexte de l'application :** - Type : [EX: API REST publique, application web B2C, back-office interne] - Données traitées : [EX: données personnelles RGPD, informations financières, données de santé] - Authentification : [EX: JWT, sessions, OAuth2] - Stack : [EX: Node.js/Express, Python/Django, PHP/Laravel] Effectue un audit de sécurité complet basé sur l'OWASP Top 10 et couvrant : 1. **Injection** : SQL injection, NoSQL injection, command injection, LDAP injection. Identifie les paramètres non échappés. 2. **Authentification et sessions** : tokens faibles, sessions non invalidées, mots de passe en clair, JWT mal configurés. 3. **Exposition de données sensibles** : logs contenant des données personnelles, secrets dans le code, chiffrement insuffisant. 4. **Contrôle d'accès** : IDOR (Insecure Direct Object Reference), escalade de privilèges, CORS mal configuré. 5. **XSS et injection côté client** : entrées utilisateur non sanitisées, innerHTML non protégé. 6. **Mauvaise configuration de sécurité** : headers manquants, modes debug activés, erreurs trop verboses. 7. **Dépendances vulnérables** : identifie les librairies à mettre à jour. Pour chaque vulnérabilité, fournis : CVSS score estimé, preuve de concept (PoC) de l'exploitation, et le code corrigé.
Pourquoi ce prompt fonctionne
<p>Ce prompt positionne l'IA comme un auditeur de sécurité suivant une méthodologie standardisée (OWASP Top 10), ce qui garantit une couverture systématique des vulnérabilités les plus communes plutôt qu'une revue ad hoc basée sur des intuitions.</p><p>La demande de PoC (Proof of Concept) d'exploitation pour chaque vulnérabilité est une technique professionnelle : elle permet de démontrer concrètement le risque aux équipes qui pourraient minimiser l'urgence d'un correctif théorique. Un PoC réel change la perception du risque.</p><p>L'inclusion du contexte métier (type de données, type d'application) est essentielle car une vulnérabilité dans une API publique traitant des données RGPD est bien plus critique que dans un back-office interne, et justifie une priorisation différente des corrections.</p>
Cas d'usage
Résultat attendu
Un rapport d'audit structuré avec vulnérabilités classées par sévérité, PoC d'exploitation, CVSS scores et code corrigé pour chaque problème.
Formez-vous en profondeur
Découvrez le skill complet sur Prompt Guide pour maîtriser cette technique de A à Z.
Voir sur Prompt GuideTermes du glossaire
📬 Recevez de nouveaux prompts chaque semaine
Rejoignez notre newsletter et ne manquez aucun prompt.
Prompts similaires
Prompt pour optimiser vos requêtes SQL et booster les performances
Un prompt complet pour analyser, diagnostiquer et optimiser vos requêtes SQL avec des recommandations d'indexation et de réécriture adaptées à votre moteur de base de données.
Refactoring de code legacy
Refactorisez du code legacy de manière sécurisée et incrémentale en suivant les principes SOLID et les bonnes pratiques modernes.
Générez une documentation technique complète pour votre code
Un prompt complet pour générer de la documentation technique structurée et professionnelle, adaptée au public cible et au type de projet.
Implémenter une gestion des erreurs robuste en Node.js
Créez une architecture de gestion des erreurs Node.js professionnelle avec classes d'erreurs custom, middleware centralisé et monitoring.