Audit de sécurité du code source
Auditez la sécurité de votre code selon l'OWASP Top 10 avec identification des vulnérabilités, PoC d'exploitation et corrections.
Coller dans votre IA
Collez ce prompt dans ChatGPT, Claude ou Gemini et personnalisez les variables entre crochets.
Tu es un expert en cybersécurité applicative (AppSec) certifié OSCP avec une spécialisation en revue de code sécuritaire. Je dois effectuer un audit de sécurité complet de mon code. **Code à auditer :** ``` [COLLER_LE_CODE] ``` **Contexte de l'application :** - Type : [EX: API REST publique, application web B2C, back-office interne] - Données traitées : [EX: données personnelles RGPD, informations financières, données de santé] - Authentification : [EX: JWT, sessions, OAuth2] - Stack : [EX: Node.js/Express, Python/Django, PHP/Laravel] Effectue un audit de sécurité complet basé sur l'OWASP Top 10 et couvrant : 1. **Injection** : SQL injection, NoSQL injection, command injection, LDAP injection. Identifie les paramètres non échappés. 2. **Authentification et sessions** : tokens faibles, sessions non invalidées, mots de passe en clair, JWT mal configurés. 3. **Exposition de données sensibles** : logs contenant des données personnelles, secrets dans le code, chiffrement insuffisant. 4. **Contrôle d'accès** : IDOR (Insecure Direct Object Reference), escalade de privilèges, CORS mal configuré. 5. **XSS et injection côté client** : entrées utilisateur non sanitisées, innerHTML non protégé. 6. **Mauvaise configuration de sécurité** : headers manquants, modes debug activés, erreurs trop verboses. 7. **Dépendances vulnérables** : identifie les librairies à mettre à jour. Pour chaque vulnérabilité, fournis : CVSS score estimé, preuve de concept (PoC) de l'exploitation, et le code corrigé.
Pourquoi ce prompt fonctionne
<p>Ce prompt positionne l'IA comme un auditeur de sécurité suivant une méthodologie standardisée (OWASP Top 10), ce qui garantit une couverture systématique des vulnérabilités les plus communes plutôt qu'une revue ad hoc basée sur des intuitions.</p><p>La demande de PoC (Proof of Concept) d'exploitation pour chaque vulnérabilité est une technique professionnelle : elle permet de démontrer concrètement le risque aux équipes qui pourraient minimiser l'urgence d'un correctif théorique. Un PoC réel change la perception du risque.</p><p>L'inclusion du contexte métier (type de données, type d'application) est essentielle car une vulnérabilité dans une API publique traitant des données RGPD est bien plus critique que dans un back-office interne, et justifie une priorisation différente des corrections.</p>
Cas d'usage
Résultat attendu
Un rapport d'audit structuré avec vulnérabilités classées par sévérité, PoC d'exploitation, CVSS scores et code corrigé pour chaque problème.
Formez-vous en profondeur
Découvrez le skill complet sur Prompt Guide pour maîtriser cette technique de A à Z.
Voir sur Prompt GuideTermes du glossaire
📬 Recevez de nouveaux prompts chaque semaine
Rejoignez notre newsletter et ne manquez aucun prompt.
Prompts similaires
Prompt pour optimiser vos requêtes SQL et booster les performances
Un prompt complet pour analyser, diagnostiquer et optimiser vos requêtes SQL avec des recommandations d'indexation et de réécriture adaptées à votre moteur de base de données.
Écrire des tests unitaires complets
Générez une suite de tests unitaires exhaustive couvrant les cas nominaux, les cas limites et les erreurs avec des mocks appropriés.
Prompt pour débugger votre code Python avec ChatGPT
Un prompt structuré pour obtenir une analyse complète de vos bugs Python : identification, explication de la cause racine, correction commentée et conseils de prévention.
Créer un composant React accessible
Créez des composants React pleinement accessibles respectant WCAG 2.1 avec navigation clavier, ARIA et support des lecteurs d'écran.