hellmet

—detect vulnerabilities—

Détectez les vulnérabilités OWASP dans votre code.

→ Prompt builder
Framework

Collez du code et cliquez sur Analyser.

Règles OWASP — détectées automatiquement, activables manuellement.

Vérifier l'authentification et les autorisations avant toute action. Appliquer le principe du moindre privilège sur toutes les ressources.
Supprimer les configurations par défaut et les endpoints non utilisés. Désactiver le détail des erreurs en production. Appliquer des en-têtes de sécurité HTTP (CSP, HSTS, X-Frame-Options).
Vérifier l'intégrité de tous les composants tiers (hash, signature). Utiliser des lock files et une allowlist de registres approuvés. Intégrer une analyse SCA (ex. npm audit, Dependabot) dans le pipeline CI/CD et surveiller les CVE en continu.
Ne jamais stocker de mots de passe en clair. Utiliser bcrypt (cost ≥ 12) ou Argon2. Chiffrer les données sensibles au repos avec AES-256.
Utiliser exclusivement des requêtes paramétrées ou un ORM. Aucune concaténation de chaînes pour construire des requêtes SQL, commandes shell ou expressions LDAP.
Valider le type MIME réel du fichier (pas seulement l'extension). Limiter la taille des fichiers à 5 Mo. Renommer les fichiers uploadés avec un UUID pour éviter le Path Traversal.
Implémenter un rate limiting sur toutes les routes d'authentification. Utiliser des tokens JWT avec une expiration courte (≤ 15 min). Invalider les sessions côté serveur à la déconnexion.
Vérifier l'intégrité des fichiers et des données reçus (hash SHA-256 ou signature). Ne jamais désérialiser des données non fiables sans validation stricte du schéma. Signer les artefacts du pipeline CI/CD.
Logger toutes les tentatives d'accès échouées avec horodatage et IP. Ne jamais exposer de données sensibles (mots de passe, tokens) dans les logs. Conserver les logs d'audit en lieu sûr et configurer des alertes sur les événements critiques.
Gérer explicitement toutes les exceptions — ne jamais les ignorer silencieusement. Ne pas exposer les détails internes des erreurs en production. S'assurer que l'application échoue de façon sécurisée (fail-closed) et loguer toutes les exceptions avec leur contexte.