Rekap dan Latihan
Poin-poin penting
- Kode buatan AI tidak aman secara default; asumsikan sebuah kerentanan ada dan carilah, alih-alih mempercayai kesan pertama yang bersih.
- Kategori besar berulang: injection, yang terekspos, otorisasi yang hilang, unggahan berkas yang tidak aman, dan dependensi rekaan.
- Otorisasi bersifat per-permintaan, bukan per-login — setiap harus mengecek bahwa pengguna ini boleh melakukan aksi ini, bukan hanya bahwa mereka sudah login.
- Jalankan sebuah pemindai secret seperti
gitleakssebelum setiap push, dan rotasi kunci mana pun yang pernah bocor; hubungkan pemindaian ini ke supaya kamu tidak bisa melewatinya. - Hari kesembilan puluh lebih berbahaya daripada hari pertama — buat gerbang keamanan cukup murah untuk tidak dilewati dan cukup otomatis sehingga kamu tidak bisa melewatinya.
Coba ini
Ambil fitur apa pun milikmu yang menyentuh autentikasi, data pengguna, atau unggahan dan jalankan review adversarial di bawah ini terhadapnya. Untuk setiap kerentanan yang dilaporkan AI, minta permintaan persis yang mengeksploitasinya dan perbaikan minimalnya, lalu terapkan perbaikan itu dan jalankan ulang prompt-nya. Akhiri dengan menjalankan gitleaks (atau pemindaian secret platform kamu) atas repo dan riwayatnya.
Prompt bab ini
Here is the code for a feature that handles [auth / user data / uploads]:
[paste the code].
Act as an attacker reviewing this for security holes. Specifically check:
- broken authorization (can a user act on another user's data?)
- injection via input (SQL injection, XSS, command injection)
- exposed secrets or keys in code or responses
- unsafe file handling (type, size, path, generated names)
- missing validation or rate limits
For EACH issue, show the exact request that exploits it, then the fix.
Do NOT reassure me — assume there IS a vulnerability and find it.