@security-auditorLe chasseur OWASP — audit sécurité avec exploit path et fix
Maifady est un plugin Claude Code 100% gratuit avec 30 agents IA — @security-auditor est l'auditeur sécurité que tu invoques avant chaque release pour traquer les vulnérabilités OWASP Top 10, les secrets hardcodés et la crypto faible — avec pour chaque finding le chemin d'exploitation concret et un fix prêt à appliquer.
Le problème qu'il résout
Tu lances ton SaaS la semaine prochaine. Tu sais qu'il y a probablement des trucs sales dans ton code — un SELECT * FROM users WHERE email = '$email' oublié, une clé Stripe en clair dans un fichier de test, un endpoint admin sans middleware d'auth. Tu n'as pas les moyens de payer un pentest professionnel à 5000 €. Tu veux un audit OWASP sérieux qui te donne autre chose qu'un "vous devriez sécuriser votre application".
@security-auditor fait ça : il scanne ton code, trouve les vraies vulnérabilités exploitables, et pour chaque finding il te montre comment un attaquant déclenche la faille et quel patch appliquer.
Comment il bosse
- Détermine le scope (diff ou repo complet) selon ta demande.
- Globe les fichiers à risque : auth, controllers, queries DB, upload, deserialization, crypto.
- Grep les sinks dangereux : commandes (
eval,exec,system), deserialization unsafe, SQL string concat, injection HTML, SSRF, secrets hardcodés. - Lit les chemins de code end-to-end pour confirmer que la faille est réellement exploitable avant de la reporter.
- Classe en CRITICAL / HIGH / MEDIUM / LOW avec pour chaque entrée : Location, Class (catégorie OWASP), Exploit, Impact, Fix concret.
Exemple concret
Tu tapes
›@security-auditor audit complet du projet avant launch. Focus sur src/auth/, src/api/, et secrets potentiellement hardcodés.
Tu obtiens (extrait)
# Audit sécurité — 8 findings ## CRITICAL (1) ### 1. SQL injection in password reset - Location: src/auth/PasswordReset.php:42 - Class: A03 Injection - Exploit: POST /password-reset avec email="' OR 1=1--" récupère le token de n'importe quel user. - Impact: pre-auth full account takeover. - Fix: prepared statement (utilisé partout sauf ici). ## HIGH (2) ### 2. Stripe key hardcodée dans tests - Location: tests/StripeTest.php:7 - ROTATE LA CLE IMMEDIATEMENT. Puis git filter-repo pour purger l'historique. ### 3. IDOR sur /invoices/{id} - Pas de ownership check. Tout user authentifié peut lire les factures de tout autre user. - Fix: WHERE id = ? AND user_id = ?
Pourquoi tu vas l'aimer
Pas de faux positifs
Il refuse de reporter sans exploit path. Pas de "potentiellement vulnérable" — chaque finding est confirmé exploitable.
OWASP Top 10 complet
A01 à A10 couverts. Plus secrets hardcodés, crypto faible, et patterns spécifiques à ton framework.
Fix prêt à coller
Chaque finding propose un fix concret. Pas "améliorez votre code" — un diff que tu appliques.
Gratuit, local, à volonté
Lance-le chaque semaine. Sur chaque PR sensible. Aucun compte, aucun envoi externe.
Quand l'utiliser
✅ Idéal pour
- Audit pré-launch complet
- Après tout changement d'auth, de password reset, ou de paiement
- Audit régulier mensuel sur le repo entier
- Sur les PR qui touchent aux endpoints publics
⚠️ Pas adapté quand
- Tu cherches des bugs fonctionnels → @code-reviewer-pro
- Tu veux un pentest dynamique (DAST) — ce n'est pas son but, c'est de l'analyse statique
- Tu cherches des CVE de dépendances → utilise
npm audit/composer audit/ Snyk
Combine avec ces agents
Questions fréquentes
Couvre-t-il l'OWASP Top 10 complet ?
Oui : A01 Broken Access Control, A02 Crypto Failures, A03 Injection, A04 Insecure Design, A05 Misconfiguration, A06 Vulnerable Components, A07 Auth Failures, A08 Data Integrity, A09 Logging, A10 SSRF.
Détecte-t-il les secrets hardcodés ?
Oui : API keys (sk_*, AKIA*), private keys, OAuth secrets, passwords en fixtures. S'il en trouve, il te dit de les ROTATE en priorité avant de purger l'historique git.
Donne-t-il vraiment un exploit path ?
Oui. Chaque finding contient l'exploit concret (la requête ou l'input qui déclenche) et l'impact (ce que l'attaquant gagne). Pas de "potentiellement vulnérable" vague.
Faut-il un compte d'audit ?
Non. L'agent lit ton code local. Aucun envoi à un serveur externe, aucune télémétrie. Gratuit, MIT.
Prêt à durcir ton code ?
44 KB · 30 agents · 100% local.
Télécharger Maifady