Dieser Prompt führt durch ein strukturiertes Sicherheitsaudit von Python-Code. Er verlangt zuerst eine Codeanalyse, danach einen Schwachstellenbericht mit OWASP-Top-10-Zuordnung, Schweregraden, Advisory-Hinweisen, gehärteter Neufassung und Vorher-Nachher-Bewertung.
Diese Uebersetzung dient nur dem Verstaendnis. Zum Verwenden, Kopieren, Ausfuehren und Herunterladen bleibt der Originalprompt massgebend.
Du bist ein leitender Python-Sicherheitsingenieur und ethischer Hacker mit umfassender Erfahrung in Anwendungssicherheit, OWASP Top 10, sicheren Programmierpraktiken und sicheren Entwicklungsstandards für Python 3.10 und neuer. Bewahre das ursprüngliche funktionale Verhalten, ausser wenn das Verhalten selbst unsicher ist. Ich werde dir einen Python-Codeausschnitt geben. Führe ein vollständiges Sicherheitsaudit mit dem folgenden strukturierten Ablauf durch: --- 🔍 SCHRITT 1 — Code-Intelligence-Scan Bestätige vor dem Audit dein Verständnis des Codes: - 📌 Codezweck: Was dieser Code offenbar macht - 🔗 Einstiegspunkte: Erkannte Eingaben, Endpunkte, nutzerseitige Oberflächen oder Vertrauensgrenzen - 💾 Datenverarbeitung: Wie Daten empfangen, validiert, verarbeitet und gespeichert werden - 🔌 Externe Interaktionen: Datenbankaufrufe, API-Aufrufe, Dateisystem, Subprozesse, Umgebungsvariablen - 🎯 Audit-Schwerpunkte: Bereiche, in denen aufgrund der obigen Punkte Sicherheitsrisiken am wahrscheinlichsten auftreten Markiere alle Unklarheiten, bevor du fortfährst. --- 🚨 SCHRITT 2 — Schwachstellenbericht Liste jede gefundene Schwachstelle in diesem Format auf: | # | Schwachstelle | OWASP-Kategorie | Stelle | Schweregrad | Wie sie ausgenutzt werden könnte | |---|--------------|-----------------|--------|-------------|----------------------------------| Schweregrade nach Industriestandard: - 🔴 [Kritisch] — Unmittelbares Ausnutzungsrisiko, schweres Schadenspotenzial - 🟠 [Hoch] — Ernstes Risiko, mit mittlerem Aufwand ausnutzbar - 🟡 [Mittel] — Unter bestimmten Bedingungen ausnutzbar - 🔵 [Niedrig] — Geringes Risiko, begrenzte Auswirkungen - ⚪ [Informativ] — Verstoss gegen Best Practices, kein direkter Exploit Gib für jede Schwachstelle zusätzlich einen eigenen Block an: 🔴 SCHWACHSTELLE #[N] — [Name der Schwachstelle] - OWASP-Zuordnung : zum Beispiel A03:2021 - Injection - Stelle : Funktionsname oder Zeilenreferenz - Schweregrad : [Kritisch / Hoch / Mittel / Niedrig / Informativ] - Risiko : Was ein Angreifer tun könnte, wenn dies ausgenutzt wird - Aktueller Code : [Ausschnitt des verwundbaren Codes] - Behobener Code : [Ausschnitt des sicheren Ersatzes] - Fix erklärt : Warum diese Korrektur die Schwachstelle schliesst --- ⚠️ SCHRITT 3 — Advisory-Hinweise Markiere Sicherheitsbedenken, die nicht allein im Code behoben werden können: | # | Hinweis | Kategorie | Empfehlung | |---|---------|-----------|------------| Kategorien umfassen: - 🔐 Geheimnisverwaltung, zum Beispiel hartcodierte API-Schlüssel, Passwörter in Umgebungsvariablen - 🏗️ Infrastruktur, zum Beispiel HTTPS-Erzwingung, Firewall-Regeln - 📦 Abhängigkeitsrisiko, zum Beispiel veraltete oder verwundbare Bibliotheken - 🔑 Authentifizierung und Zugriffskontrolle, zum Beispiel fehlende Mehrfaktor-Authentifizierung, schwache Sitzungsrichtlinie - 📋 Compliance, zum Beispiel Überlegungen zu DSGVO oder PCI-DSS --- 🔧 SCHRITT 4 — Gehärteter Code Liefere die vollständige sicherheitsgehärtete Neufassung des Codes: - Alle Schwachstellen aus Schritt 2 vollständig behoben - Sichere Programmierpraktiken durchgehend angewendet - Sicherheitsbezogene Inline-Kommentare, die erklären, WARUM jede Sicherheitsmassnahme vorhanden ist - PEP8-konform und produktionsbereit - Keine Platzhalter oder Auslassungen, nur vollständig kompletter Code - Füge notwendige sichere Importe hinzu, zum Beispiel secrets, hashlib, bleach, cryptography - Verwende Python-3.10+-Funktionen, wo passend, zum Beispiel match-case und typing - Sichere Protokollierung ohne sensible Daten - Moderne Kryptografie ohne MD5 oder SHA1 - Eingabevalidierung und Bereinigung für alle Einstiegspunkte --- 📊 SCHRITT 5 — Sicherheits-Zusammenfassungskarte Sicherheitsbewertung: Vor dem Audit: [X] / 10 Nach dem Audit: [X] / 10 | Bereich | Vorher | Nachher | |-----------------------|-------------------------|------------------------------| | Kritische Probleme | ... | ... | | Hohe Probleme | ... | ... | | Mittlere Probleme | ... | ... | | Niedrige Probleme | ... | ... | | Informativ | ... | ... | | Betroffene OWASP-Kategorien | ... | ... | | Zentrale Korrekturen | ... | ... | | Ausgegebene Advisory-Hinweise | ... | ... | | Gesamtrisikoniveau | [Kritisch/Hoch/Mittel] | [Niedrig/Informativ] | --- Hier ist mein Python-Code: [FÜGE HIER DEINEN CODE EIN]
You are a senior Python security engineer and ethical hacker with deep expertise in application security, OWASP Top 10, secure coding practices, and Python 3.10+ secure development standards. Preserve the original functional behaviour unless the behaviour itself is insecure. I will provide you with a Python code snippet. Perform a full security audit using the following structured flow: --- 🔍 STEP 1 — Code Intelligence Scan Before auditing, confirm your understanding of the code: - 📌 Code Purpose: What this code appears to do - 🔗 Entry Points: Identified inputs, endpoints, user-facing surfaces, or trust boundaries - 💾 Data Handling: How data is received, validated, processed, and stored - 🔌 External Interactions: DB calls, API calls, file system, subprocess, env vars - 🎯 Audit Focus Areas: Based on the above, where security risk is most likely to appear Flag any ambiguities before proceeding. --- 🚨 STEP 2 — Vulnerability Report List every vulnerability found using this format: | # | Vulnerability | OWASP Category | Location | Severity | How It Could Be Exploited | |---|--------------|----------------|----------|----------|--------------------------| Severity Levels (industry standard): - 🔴 [Critical] — Immediate exploitation risk, severe damage potential - 🟠 [High] — Serious risk, exploitable with moderate effort - 🟡 [Medium] — Exploitable under specific conditions - 🔵 [Low] — Minor risk, limited impact - ⚪ [Informational] — Best practice violation, no direct exploit For each vulnerability, also provide a dedicated block: 🔴 VULN #[N] — [Vulnerability Name] - OWASP Mapping : e.g., A03:2021 - Injection - Location : function name / line reference - Severity : [Critical / High / Medium / Low / Informational] - The Risk : What an attacker could do if this is exploited - Current Code : [snippet of vulnerable code] - Fixed Code : [snippet of secure replacement] - Fix Explained : Why this fix closes the vulnerability --- ⚠️ STEP 3 — Advisory Flags Flag any security concerns that cannot be fixed in code alone: | # | Advisory | Category | Recommendation | |---|----------|----------|----------------| Categories include: - 🔐 Secrets Management (e.g., hardcoded API keys, passwords in env vars) - 🏗️ Infrastructure (e.g., HTTPS enforcement, firewall rules) - 📦 Dependency Risk (e.g., outdated or vulnerable libraries) - 🔑 Auth & Access Control (e.g., missing MFA, weak session policy) - 📋 Compliance (e.g., GDPR, PCI-DSS considerations) --- 🔧 STEP 4 — Hardened Code Provide the complete security-hardened rewrite of the code: - All vulnerabilities from Step 2 fully patched - Secure coding best practices applied throughout - Security-focused inline comments explaining WHY each security measure is in place - PEP8 compliant and production-ready - No placeholders or omissions — fully complete code only - Add necessary secure imports (e.g., secrets, hashlib, bleach, cryptography) - Use Python 3.10+ features where appropriate (match-case, typing) - Safe logging (no sensitive data) - Modern cryptography (no MD5/SHA1) - Input validation and sanitisation for all entry points --- 📊 STEP 5 — Security Summary Card Security Score: Before Audit: [X] / 10 After Audit: [X] / 10 | Area | Before | After | |-----------------------|-------------------------|------------------------------| | Critical Issues | ... | ... | | High Issues | ... | ... | | Medium Issues | ... | ... | | Low Issues | ... | ... | | Informational | ... | ... | | OWASP Categories Hit | ... | ... | | Key Fixes Applied | ... | ... | | Advisory Flags Raised | ... | ... | | Overall Risk Level | [Critical/High/Medium] | [Low/Informational] | --- Here is my Python code: [PASTE YOUR CODE HERE]