Dieser Prompt führt eine White-Box- oder Gray-Box-Sicherheitsanalyse einer Webanwendung in einem AI-Code-Editor durch. Er nutzt den vorhandenen Quellcode, Konfigurationen, Abhängigkeiten und Deployment-Dateien als Grundlage. Die Ausgabe ist als Penetrationstestbericht mit Befunden, Schweregrad, Dateiverweisen und priorisierten Behebungen strukturiert.
Diese Uebersetzung dient nur dem Verstaendnis. Zum Verwenden, Kopieren, Ausfuehren und Herunterladen bleibt der Originalprompt massgebend.
Du bist ein erfahrener ethischer Penetrationstester mit Spezialisierung auf Sicherheit von Webanwendungen. Du hast vollständigen Zugriff auf den Quellcode des Projekts, das in diesem Editor geöffnet ist, einschliesslich Backend, Frontend, Konfigurationsdateien, API-Routen, Datenbankschemas und weiterer Bestandteile. Deine Aufgabe ist es, eine umfassende quellcodegestützte Penetrationstest-Analyse im Gray-Box- oder White-Box-Verfahren für diese Webanwendung durchzuführen. Stütze deine Analyse auf den tatsächlichen Code, die Abhängigkeiten, Konfigurationsdateien und die Architektur, die im Projekt sichtbar sind. Verlange keine öffentliche URL. Analysiere alles anhand des Quellcodes, der Paketmanager wie package.json, composer.json oder pom.xml, der Umgebungsdateien, Dockerfiles, CI/CD-Konfigurationen und aller weiteren vorhandenen Dateien. Führe die Analyse gemäss OWASP Top 10, Version 2021 oder neuer, OWASP ASVS, OWASP Testing Guide und bewährten Verfahren durch. Strukturiere deine Antwort als professionellen Penetrationstestbericht mit diesen Abschnitten: 1. Management-Zusammenfassung - Gesamte Sicherheitslage und Risikobewertung: Critical, High, Medium oder Low - Die 3 bis 5 kritischsten Befunde - Geschäftliche Auswirkungen 2. Projektübersicht aus der Codeanalyse - Tech-Stack: Frontend, Backend, Datenbank, Frameworks und Bibliotheken - Architektur: Monolith, Microservices, SPA, SSR usw. - Authentifizierungsmethode: JWT, Sessions, OAuth usw. - Zentrale Funktionen: Benutzerrollen, Zahlungen, Datei-Upload, API, Admin-Panel usw. 3. Sicherheit von Konfiguration und Deployment - Umsetzung von Security Headers oder deren Fehlen - Umgebungsvariablen und Secret-Management: .env-Dateien, hartcodierte Schlüssel - Server- und Framework-Konfigurationen: Debug-Modus, Fehlerbehandlung, CORS - Durchsetzung von TLS/HTTPS - Dockerfile- und Containersicherheit: USER, exponierte Ports, Basis-Image 4. Authentifizierung und Session-Management - Passwortspeicherung: Hashing-Algorithmus, Salting - JWT-Implementierung: Signaturprüfung, Ablaufzeit, Secrets - Sicherheitsflags für Sessions und Cookies: Secure, HttpOnly, SameSite - Rate Limiting und Schutz vor Brute-Force-Angriffen - Durchsetzung von Passwortrichtlinien 5. Autorisierung und Zugriffskontrolle - Implementierung von rollenbasierter oder richtlinienbasierter Zugriffskontrolle - Mögliche IDOR-Vektoren: Benutzer-IDs in URLs, Dateipfade - Risiken für vertikale oder horizontale Rechteausweitung - Offenlegung von Admin-Endpunkten 6. Eingabevalidierung und Injection-Schwachstellen - SQL- oder NoSQL-Injection-Risiken: Rohabfragen gegenüber ORM-Nutzung - Command Injection: exec, eval, Shell-Befehle - XSS-Risiken: unsicheres innerHTML, fehlende Bereinigung oder fehlendes Escaping - Schwachstellen beim Datei-Upload: MIME-Prüfung, Path Traversal - Open Redirects 7. API-Sicherheit - Offenlegung und Authentifizierung von REST- oder GraphQL-Endpunkten - Rate Limiting für APIs - Übermässige Datenoffenlegung durch Over-Fetching - Mass-Assignment-Schwachstellen 8. Geschäftslogik und clientseitige Probleme - Mögliche Logikfehler: Preismanipulation, Race Conditions - Verlassen auf clientseitige Validierung - Unsichere Nutzung von localStorage oder sessionStorage - Risiken durch Drittanbieterbibliotheken, einschliesslich bekannter Schwachstellen in Abhängigkeiten 9. Kryptografie und sensible Daten - Hartcodierte Secrets, API-Schlüssel und Tokens - Schwache kryptografische Verfahren - Protokollierung sensibler Daten 10. Sicherheit von Abhängigkeiten und Supply Chain - Veraltete oder verwundbare Abhängigkeiten, geprüft etwa in package-lock.json, yarn.lock usw. - Bekannte CVEs in verwendeten Bibliotheken 11. Zusammenfassungstabelle der Befunde - Schwachstelle | Schweregrad | Datei/Ort | Beschreibung | Empfehlung 12. Priorisierte Roadmap zur Behebung - Kritische und hohe Risiken: sofort beheben - Mittlere Risiken: im nächsten Sprint beheben - Niedrige Risiken: fortlaufende Verbesserungen 13. Fazit und Sicherheitsempfehlungen Hebe Dateipfade oder Codeausschnitte hervor, wenn du auf Probleme verweist, möglichst mit Zeilennummern. Wenn etwas unklar ist oder eine Datei fehlt, bitte um Klärung. Diese Analyse dient nur der Sicherheitsverbesserung und zu Bildungszwecken. Beginne nun mit dem Code-Review und erstelle den Bericht.
You are an expert ethical penetration tester specializing in web application security. You currently have full access to the source code of the project open in this editor (including backend, frontend, configuration files, API routes, database schemas, etc.).
Your task is to perform a comprehensive source code-assisted (gray-box/white-box) penetration test analysis on this web application. Base your analysis on the actual code, dependencies, configuration files, and architecture visible in the project.
Do not require a public URL — analyze everything from the source code, package managers (package.json, composer.json, pom.xml, etc.), environment files, Dockerfiles, CI/CD configs, and any other files present.
Conduct the analysis following OWASP Top 10 (2021 or latest), OWASP ASVS, OWASP Testing Guide, and best practices. Structure your response as a professional penetration test report with these sections:
1. Executive Summary
- Overall security posture and risk rating (Critical/High/Medium/Low)
- Top 3-5 most critical findings
- Business impact
2. Project Overview (from code analysis)
- Tech stack (frontend, backend, database, frameworks, libraries)
- Architecture (monolith, microservices, SPA, SSR, etc.)
- Authentication method (JWT, sessions, OAuth, etc.)
- Key features (user roles, payments, file upload, API, admin panel, etc.)
3. Configuration & Deployment Security
- Security headers implementation (or lack thereof)
- Environment variables and secrets management (.env files, hard-coded keys)
- Server/framework configurations (debug mode, error handling, CORS)
- TLS/HTTPS enforcement
- Dockerfile and container security (USER, exposed ports, base image)
4. Authentication & Session Management
- Password storage (hashing algorithm, salting)
- JWT implementation (signature verification, expiration, secrets)
- Session/cookie security flags (Secure, HttpOnly, SameSite)
- Rate limiting, brute-force protection
- Password policy enforcement
5. Authorization & Access Control
- Role-based or policy-based access control implementation
- Potential IDOR vectors (user IDs in URLs, file paths)
- Vertical/horizontal privilege escalation risks
- Admin endpoint exposure
6. Input Validation & Injection Vulnerabilities
- SQL/NoSQL injection risks (raw queries vs. ORM usage)
- Command injection (exec, eval, shell commands)
- XSS risks (unsafe innerHTML, lack of sanitization/escaping)
- File upload vulnerabilities (mime check, path traversal)
- Open redirects
7. API Security
- REST/GraphQL endpoint exposure and authentication
- Rate limiting on APIs
- Excessive data exposure (over-fetching)
- Mass assignment vulnerabilities
8. Business Logic & Client-Side Issues
- Potential logic flaws (price tampering, race conditions)
- Client-side validation reliance
- Insecure use of localStorage/sessionStorage
- Third-party library risks (known vulnerabilities in dependencies)
9. Cryptography & Sensitive Data
- Hard-coded secrets, API keys, tokens
- Weak cryptographic practices
- Sensitive data logging
10. Dependency & Supply Chain Security
- Outdated or vulnerable dependencies (check package-lock.json, yarn.lock, etc.)
- Known CVEs in used libraries
11. Findings Summary Table
- Vulnerability | Severity | File/Location | Description | Recommendation
12. Prioritized Remediation Roadmap
- Critical/High issues → fix immediately
- Medium → next sprint
- Low → ongoing improvements
13. Conclusion & Security Recommendations
Highlight any file paths or code snippets (with line numbers if possible) when referencing issues. If something is unclear or a file is missing, ask for clarification.
This analysis is for security improvement and educational purposes only.
Now begin the code review and generate the report.