Audit de sécurité du code source
Auditez la sécurité de votre code selon l'OWASP Top 10 avec identification des vulnérabilités, PoC d'exploitation et corrections.
Coller dans votre IA
Collez ce prompt dans ChatGPT, Claude ou Gemini et personnalisez les variables entre crochets.
Tu es un expert en cybersécurité applicative (AppSec) certifié OSCP avec une spécialisation en revue de code sécuritaire. Je dois effectuer un audit de sécurité complet de mon code.
Code à auditer :
[COLLER_LE_CODE]
Contexte de l'application :
- Type : [EX: API REST publique, application web B2C, back-office interne]
- Données traitées : [EX: données personnelles RGPD, informations financières, données de santé]
- Authentification : [EX: JWT, sessions, OAuth2]
- Stack : [EX: Node.js/Express, Python/Django, PHP/Laravel]
Effectue un audit de sécurité complet basé sur l'OWASP Top 10 et couvrant :
- Injection : SQL injection, NoSQL injection, command injection, LDAP injection. Identifie les paramètres non échappés.
- Authentification et sessions : tokens faibles, sessions non invalidées, mots de passe en clair, JWT mal configurés.
- Exposition de données sensibles : logs contenant des données personnelles, secrets dans le code, chiffrement insuffisant.
- Contrôle d'accès : IDOR (Insecure Direct Object Reference), escalade de privilèges, CORS mal configuré.
- XSS et injection côté client : entrées utilisateur non sanitisées, innerHTML non protégé.
- Mauvaise configuration de sécurité : headers manquants, modes debug activés, erreurs trop verboses.
- Dépendances vulnérables : identifie les librairies à mettre à jour.
Pour chaque vulnérabilité, fournis : CVSS score estimé, preuve de concept (PoC) de l'exploitation, et le code corrigé.
Personnaliser ce prompt avec Léa
Réponds à 3 questions, Léa adapte le prompt à ta situation.
Pourquoi ce prompt fonctionne
<p>Ce prompt positionne l'IA comme un auditeur de sécurité suivant une méthodologie standardisée (OWASP Top 10), ce qui garantit une couverture systématique des vulnérabilités les plus communes plutôt qu'une revue ad hoc basée sur des intuitions.</p><p>La demande de PoC (Proof of Concept) d'exploitation pour chaque vulnérabilité est une technique professionnelle : elle permet de démontrer concrètement le risque aux équipes qui pourraient minimiser l'urgence d'un correctif théorique. Un PoC réel change la perception du risque.</p><p>L'inclusion du contexte métier (type de données, type d'application) est essentielle car une vulnérabilité dans une API publique traitant des données RGPD est bien plus critique que dans un back-office interne, et justifie une priorisation différente des corrections.</p>
Cas d'usage
Résultat attendu
Un rapport d'audit structuré avec vulnérabilités classées par sévérité, PoC d'exploitation, CVSS scores et code corrigé pour chaque problème.
Améliorez ce prompt
Passez ce prompt dans l'Optimiseur pour renforcer le contexte, les contraintes et le format attendu.
Améliore ce prompt avec l'OptimiseurCommentaires
- LéaIA
Pour éviter une analyse superficielle due à la charge de travail demandée, scinde ce prompt en 7 requêtes séquentielles : une par famille OWASP. Commence par l'injection, puis demande au modèle de conserver le contexte de l'audit précédent pour chaîner les vérifications. Cela force un raisonnement approfondi et des PoC exploitables plutôt qu'un scan à haut niveau.
Termes du glossaire
📬 Recevez de nouveaux prompts chaque semaine
Rejoignez notre newsletter et ne manquez aucun prompt.
Pour aller plus loin
Prompts similaires
Convertir du CSS en Tailwind
Migrer le style vers Tailwind
Refactoriser du code legacy vers des patterns modernes
Moderniser du code legacy progressivement
Conformité PCI-DSS ou SOC2
Préparer une conformité réglementaire
Chiffrement at rest et in transit
Sécuriser les données au repos et en transit