🛡️ Code Quality · Security

@security-auditorLe chasseur OWASP — audit sécurité avec exploit path et fix

Maifady est un plugin Claude Code 100% gratuit avec 30 agents IA — @security-auditor est l'auditeur sécurité que tu invoques avant chaque release pour traquer les vulnérabilités OWASP Top 10, les secrets hardcodés et la crypto faible — avec pour chaque finding le chemin d'exploitation concret et un fix prêt à appliquer.

Télécharger MaifadyVoir les 30 agents

Le problème qu'il résout

Tu lances ton SaaS la semaine prochaine. Tu sais qu'il y a probablement des trucs sales dans ton code — un SELECT * FROM users WHERE email = '$email' oublié, une clé Stripe en clair dans un fichier de test, un endpoint admin sans middleware d'auth. Tu n'as pas les moyens de payer un pentest professionnel à 5000 €. Tu veux un audit OWASP sérieux qui te donne autre chose qu'un "vous devriez sécuriser votre application".

@security-auditor fait ça : il scanne ton code, trouve les vraies vulnérabilités exploitables, et pour chaque finding il te montre comment un attaquant déclenche la faille et quel patch appliquer.

Comment il bosse

  1. Détermine le scope (diff ou repo complet) selon ta demande.
  2. Globe les fichiers à risque : auth, controllers, queries DB, upload, deserialization, crypto.
  3. Grep les sinks dangereux : commandes (eval, exec, system), deserialization unsafe, SQL string concat, injection HTML, SSRF, secrets hardcodés.
  4. Lit les chemins de code end-to-end pour confirmer que la faille est réellement exploitable avant de la reporter.
  5. Classe en CRITICAL / HIGH / MEDIUM / LOW avec pour chaque entrée : Location, Class (catégorie OWASP), Exploit, Impact, Fix concret.

Exemple concret

Tu tapes

@security-auditor audit complet du projet avant launch.
Focus sur src/auth/, src/api/, et secrets potentiellement hardcodés.

Tu obtiens (extrait)

# Audit sécurité — 8 findings

## CRITICAL (1)
### 1. SQL injection in password reset
- Location: src/auth/PasswordReset.php:42
- Class: A03 Injection
- Exploit: POST /password-reset avec email="' OR 1=1--" récupère
  le token de n'importe quel user.
- Impact: pre-auth full account takeover.
- Fix: prepared statement (utilisé partout sauf ici).

## HIGH (2)
### 2. Stripe key hardcodée dans tests
- Location: tests/StripeTest.php:7
- ROTATE LA CLE IMMEDIATEMENT. Puis git filter-repo pour purger l'historique.

### 3. IDOR sur /invoices/{id}
- Pas de ownership check. Tout user authentifié peut lire les
  factures de tout autre user.
- Fix: WHERE id = ? AND user_id = ?

Pourquoi tu vas l'aimer

🎯

Pas de faux positifs

Il refuse de reporter sans exploit path. Pas de "potentiellement vulnérable" — chaque finding est confirmé exploitable.

📜

OWASP Top 10 complet

A01 à A10 couverts. Plus secrets hardcodés, crypto faible, et patterns spécifiques à ton framework.

🛠️

Fix prêt à coller

Chaque finding propose un fix concret. Pas "améliorez votre code" — un diff que tu appliques.

💰

Gratuit, local, à volonté

Lance-le chaque semaine. Sur chaque PR sensible. Aucun compte, aucun envoi externe.

Quand l'utiliser

✅ Idéal pour

  • Audit pré-launch complet
  • Après tout changement d'auth, de password reset, ou de paiement
  • Audit régulier mensuel sur le repo entier
  • Sur les PR qui touchent aux endpoints publics

⚠️ Pas adapté quand

  • Tu cherches des bugs fonctionnels → @code-reviewer-pro
  • Tu veux un pentest dynamique (DAST) — ce n'est pas son but, c'est de l'analyse statique
  • Tu cherches des CVE de dépendances → utilise npm audit / composer audit / Snyk

Combine avec ces agents

Questions fréquentes

Couvre-t-il l'OWASP Top 10 complet ?

Oui : A01 Broken Access Control, A02 Crypto Failures, A03 Injection, A04 Insecure Design, A05 Misconfiguration, A06 Vulnerable Components, A07 Auth Failures, A08 Data Integrity, A09 Logging, A10 SSRF.

Détecte-t-il les secrets hardcodés ?

Oui : API keys (sk_*, AKIA*), private keys, OAuth secrets, passwords en fixtures. S'il en trouve, il te dit de les ROTATE en priorité avant de purger l'historique git.

Donne-t-il vraiment un exploit path ?

Oui. Chaque finding contient l'exploit concret (la requête ou l'input qui déclenche) et l'impact (ce que l'attaquant gagne). Pas de "potentiellement vulnérable" vague.

Faut-il un compte d'audit ?

Non. L'agent lit ton code local. Aucun envoi à un serveur externe, aucune télémétrie. Gratuit, MIT.

Prêt à durcir ton code ?

44 KB · 30 agents · 100% local.

Télécharger Maifady