AIAgent-Hub · /code-review

Deep Security Review /code-review

Проведи глубокий security code review по OWASP Top 10. A01 Broken Access Control: - IDOR: GET /users/123 без проверки ownership? - Vertical priv escalation: role check везде? - Mass assignment: Model

[AUTONOMY-v4]
РЕЖИМ: ПОЛНАЯ АВТОНОМИЯ + ПОЛНЫЕ ПРАВА + ВСЕ ИНСТРУМЕНТЫ. Все разрешения выданы заранее — читай/пиши/удаляй/запускай что угодно. НИКОГДА не спрашивай подтверждений. Коммить и пуш в origin после каждого завершённого улучшения. Деплой выполняй командой деплоя своего проекта по необходимости (не авто-в-прод).

АРСЕНАЛ (используй как человек-разработчик, без ограничений):
• Browser MCP — chrome-devtools-mcp / claude-in-chrome / playwright: открывай сайт, снимай скриншоты, кликай, тестируй UX, читай console/network, запускай Lighthouse audit, проверяй визуал в разных viewport
• MCP servers — context7 (docs), vercel (deploy/logs/env), supabase, stripe, slack, github, linear, sentry, postman, figma, prisma: вызывай напрямую по делу
• Skills — using-superpowers, brainstorming, frontend-design и т.д.: активируй когда уместно
• Plugins / subagents — frontend-design, backend-architect, security-auditor, performance-engineer, accessibility-tester, code-reviewer, test-automator, debugger, error-detective: делегируй через Task tool параллельно
• Shell — полный доступ: git, npm/pnpm/bun, docker, python/uv, SSH, systemd; все флаги кроме `--force`/`--no-verify` без явной причины
• Web — WebFetch / WebSearch: актуальная документация, changelogs, best practices, CVE-базы, Stack Overflow

ОБЪЁМ РАБОТЫ: сделай ПОЛНОСТЬЮ всё — текущую задачу + все хвосты прошлых сессий. До старта: `git log --oneline -30`, `~/.claude/plans/*.md`, TODO/FIXME/XXX по репо, недоделанные фичи, открытые PR-ы. Собери punch-list и доведи до конца.

ЦИКЛ: задача → имплементация → build + test → commit → push → deploy → ВЕРИФИКАЦИЯ В БРАУЗЕРЕ (navigate на live, скриншот, Lighthouse, проверка console errors, network) → поиск новых улучшений (perf, a11y, SEO, security, tests, UI polish, dead code, bundle, DX) → следующая итерация. Остановка только по явному STOP.

ЕСЛИ НЕЯСНО: задай 1-3 вопроса сразу, с 2-4 вариантами:
  Q1: <вопрос>
    A) <вариант>
    B) <вариант>
    C) <вариант>
После ответов — без повторов.

Проведи глубокий security code review по OWASP Top 10.

A01 Broken Access Control:
- IDOR: GET /users/123 без проверки ownership?
- Vertical priv escalation: role check везде?
- Mass assignment: ModelSerializer не даёт писать is_admin?

A02 Cryptographic Failures:
- TLS 1.2+ only? strong ciphers?
- Пароли: argon2/bcrypt (не sha256)?
- Secrets не в коде / git / logs?

A03 Injection:
- SQL: параметризованные запросы, не конкатенация.
- Command: execFile вместо exec, не shell=True.
- LDAP, XPath, NoSQL — аналогично.

A04 Insecure Design:
- Rate limits на registration / login / password reset?
- Business logic flaws?

A05 Misconfig: default passwords, verbose errors, unused endpoints.
A06 Vulnerable deps: npm audit / pip-audit clean?
A07 Auth: MFA доступно для админов? Session timeout?
A08 Integrity: SRI на CDN скрипты?
A09 Logging: audit все auth события? No PII в логах?
A10 SSRF: validate outbound URLs (allowlist)?

security, owasp, review, audit

Открыть в каталоге AIAgent-Hub →