@maestro-ai/cli 1.0.0

package/content/prompts/requisitos/refinar-requisitos.txt

@@ -0,0 +1,40 @@
+Vou colar abaixo anotações soltas de reuniões com o cliente.
+
+Notas:
+[COLE TEXTO]
+
+Atue como analista de requisitos.
+Organize em:
+- visão resumida
+- requisitos funcionais ("O sistema deve ...")
+- requisitos não funcionais
+- dúvidas que precisam ser respondidas com o cliente
+- critérios de aceitação em Gherkin para os principais requisitos
+
+---
+
+## Resposta Esperada (Exemplo)
+
+**Visão**: Sistema de agendamento online para salões de beleza.
+
+**Requisitos Funcionais**:
+- RF1: O sistema deve permitir que clientes agendem horários online
+- RF2: O sistema deve enviar confirmação via WhatsApp
+- RF3: O sistema deve permitir cancelamento até 2h antes
+
+**Requisitos Não-Funcionais**:
+- RNF1: Tempo de resposta < 2 segundos
+- RNF2: Disponibilidade 99.5%
+
+**Dúvidas**:
+- Quais serviços serão oferecidos?
+- Há limite de agendamentos por dia?
+
+**Gherkin (RF1)**:
+```gherkin
+Cenário: Cliente agenda horário
+  Dado que estou na página de agendamento
+  Quando seleciono o serviço "Corte"
+  E escolho o horário "14:00"
+  Então devo ver a confirmação do agendamento
+```

package/content/prompts/seguranca/analise-seguranca.md

@@ -0,0 +1,243 @@
+# Prompt: Análise de Segurança
+
+> **Quando usar**: Antes de ir para produção, ou durante code review
+> **Especialista**: Segurança da Informação
+> **Nível**: Médio a Complexo
+
+---
+
+## Fluxo de Contexto
+
+Antes de usar este prompt, tenha em mãos:
+- `docs/CONTEXTO.md` - Entendimento do projeto
+- `docs/05-arquitetura/arquitetura.md` - Arquitetura do sistema
+- Código-fonte a analisar (ou descrição técnica)
+
+Após gerar, salve o resultado em:
+- `docs/09-seguranca/analise-seguranca.md`
+
+---
+
+## Prompt Completo
+
+```text
+Atue como especialista em segurança de aplicações (AppSec).
+
+## Contexto do Projeto
+
+[COLE O CONTEÚDO DE docs/CONTEXTO.md]
+
+## Arquitetura
+
+[DESCREVA A ARQUITETURA - Frontend, Backend, Banco, APIs externas]
+
+## Stack Tecnológica
+
+- Backend: [Framework/Linguagem]
+- Frontend: [Framework]
+- Banco de dados: [Tipo]
+- Autenticação: [Método atual - JWT, Sessions, OAuth]
+- Infraestrutura: [Cloud/On-premise]
+
+## Código/Fluxo a Analisar (opcional)
+
+```[LINGUAGEM]
+[COLE CÓDIGO ESPECÍFICO SE QUISER ANÁLISE PONTUAL]
+```
+
+## Dados Sensíveis no Sistema
+
+- [Liste tipos de dados: PII, financeiros, saúde, etc]
+
+## Compliance Requerido
+
+- [ ] LGPD
+- [ ] SOC2
+- [ ] PCI-DSS
+- [ ] HIPAA
+- [ ] Nenhum específico
+
+---
+
+## Sua Missão
+
+Realize uma análise de segurança completa:
+
+### 1. OWASP Top 10 - Análise de Riscos
+
+Para cada item do OWASP Top 10 aplicável:
+
+| # | Vulnerabilidade | Risco no Sistema | Severidade | Mitigação |
+|---|-----------------|------------------|------------|-----------|
+| A01 | Broken Access Control | [Aplica/Não aplica] | [Crítico/Alto/Médio/Baixo] | [Ação] |
+| A02 | Cryptographic Failures | ... | ... | ... |
+| A03 | Injection | ... | ... | ... |
+| A04 | Insecure Design | ... | ... | ... |
+| A05 | Security Misconfiguration | ... | ... | ... |
+| A06 | Vulnerable Components | ... | ... | ... |
+| A07 | Auth Failures | ... | ... | ... |
+| A08 | Data Integrity Failures | ... | ... | ... |
+| A09 | Logging Failures | ... | ... | ... |
+| A10 | SSRF | ... | ... | ... |
+
+### 2. Autenticação e Autorização
+
+- Método de autenticação atual
+- Vulnerabilidades identificadas
+- Recomendações:
+  - Password policy
+  - MFA
+  - Session management
+  - Token handling (JWT best practices)
+  - RBAC/ABAC
+
+### 3. Proteção de Dados
+
+- Dados em repouso (at rest)
+  - Criptografia de banco
+  - Campos sensíveis
+- Dados em trânsito (in transit)
+  - TLS/HTTPS
+  - Certificate pinning (mobile)
+- Dados em uso
+  - Mascaramento em logs
+  - Sanitização de inputs
+
+### 4. Validação de Input
+
+- Onde inputs são recebidos
+- Riscos de injection (SQL, NoSQL, Command, LDAP)
+- XSS (Stored, Reflected, DOM-based)
+- Recomendações de sanitização
+
+### 5. API Security
+
+- Rate limiting
+- API keys / OAuth
+- Validação de payloads
+- CORS configuration
+- Versionamento seguro
+
+### 6. Infraestrutura
+
+- Secrets management
+- Network segmentation
+- WAF configuration
+- Container security (se aplicável)
+- Dependency scanning
+
+### 7. Logging e Monitoramento de Segurança
+
+- O que logar para auditoria
+- Detecção de ataques
+- Alertas de segurança
+- Retenção de logs
+
+### 8. Checklist de Hardening
+
+Para cada componente, verificar:
+- [ ] Headers de segurança (CSP, HSTS, X-Frame-Options)
+- [ ] Desabilitar debug em produção
+- [ ] Remover endpoints de desenvolvimento
+- [ ] Atualizar dependências
+- [ ] Configurar firewall corretamente
+
+### 9. Plano de Resposta a Incidentes
+
+- Passos iniciais ao detectar breach
+- Quem notificar
+- Como preservar evidências
+- Comunicação com usuários (LGPD)
+
+### 10. Priorização de Correções
+
+| Vulnerabilidade | Severidade | Esforço | Prioridade |
+|-----------------|------------|---------|------------|
+| [Vuln 1] | Crítico | Baixo | ⭐⭐⭐ URGENTE |
+| [Vuln 2] | Alto | Médio | ⭐⭐⭐ |
+| [Vuln 3] | Médio | Alto | ⭐⭐ |
+```
+
+---
+
+## Exemplo de Uso
+
+```text
+Atue como especialista em segurança de aplicações (AppSec).
+
+## Contexto do Projeto
+
+Sistema de agendamento para salões de beleza.
+Clientes agendam online, dados são armazenados.
+
+## Arquitetura
+
+- Frontend: Next.js na Vercel
+- Backend: NestJS na AWS ECS
+- Banco: PostgreSQL RDS
+- Cache: Redis ElastiCache
+
+## Stack Tecnológica
+
+- Backend: NestJS + TypeScript
+- Frontend: Next.js + React
+- Banco de dados: PostgreSQL
+- Autenticação: JWT armazenado em httpOnly cookie
+- Infraestrutura: AWS
+
+## Dados Sensíveis no Sistema
+
+- Nome e telefone de clientes (PII)
+- Email dos clientes
+- Histórico de agendamentos
+- Senhas dos administradores (hash)
+
+## Compliance Requerido
+
+- [x] LGPD
+- [ ] SOC2
+- [ ] PCI-DSS
+- [ ] HIPAA
+```
+
+---
+
+## Resposta Esperada (Resumo)
+
+### OWASP Top 10 - Resumo
+
+| # | Vulnerabilidade | Risco | Severidade |
+|---|-----------------|-------|------------|
+| A01 | Broken Access Control | Alto - Verificar IDOR | Crítico |
+| A02 | Cryptographic Failures | Médio - Verificar hash de senhas | Alto |
+| A03 | Injection | Baixo - Usando ORM | Médio |
+| A07 | Auth Failures | Médio - Verificar brute force | Alto |
+
+### Top 3 Prioridades
+
+1. **IDOR em endpoints** (Crítico, Esforço Baixo)
+   - Verificar autorização por recurso
+   - Implementar middleware de ownership
+
+2. **Rate Limiting** (Alto, Esforço Baixo)
+   - Adicionar limite em /login
+   - Adicionar limite em /api/*
+
+3. **Audit Logging** (Médio, Esforço Médio)
+   - Logar ações administrativas
+   - Logar acessos a dados sensíveis
+
+---
+
+## Checklist Pós-Geração
+
+- [ ] OWASP Top 10 analisado
+- [ ] Autenticação e autorização revisadas
+- [ ] Proteção de dados mapeada
+- [ ] Input validation verificada
+- [ ] API security checklist completo
+- [ ] Secrets management verificado
+- [ ] Logging de segurança configurado
+- [ ] Priorização de correções definida
+- [ ] LGPD compliance verificado (se aplicável)
+- [ ] Salvar em `docs/09-seguranca/analise-seguranca.md`

package/content/prompts/seguranca/pentest-checklist.md

@@ -0,0 +1,333 @@
+# Prompt: Checklist de Pentest para Desenvolvedores
+
+> **Quando usar**: Antes de releases, após implementar autenticação/autorização
+> **Especialista**: [Segurança da Informação](../../02-especialistas/Especialista%20em%20Segurança%20da%20Informação.md)
+> **Nível**: Médio
+
+---
+
+## Fluxo de Contexto
+
+Antes de usar este prompt, tenha em mãos:
+- `docs/CONTEXTO.md` - Entendimento do projeto
+- `docs/05-arquitetura/arquitetura.md` - Arquitetura e endpoints
+- URLs de ambiente de staging/desenvolvimento
+
+Após gerar, salve o resultado em:
+- `docs/09-seguranca/pentest-checklist.md`
+
+---
+
+## Prompt Completo
+
+```text
+Atue como pentester especializado em aplicações web.
+
+## Contexto do Projeto
+
+[COLE O CONTEÚDO DE docs/CONTEXTO.md]
+
+## Stack Tecnológica
+
+- Backend: [Framework/Linguagem]
+- Frontend: [Framework]
+- Banco de dados: [Tipo]
+- Autenticação: [JWT/Sessions/OAuth]
+- APIs externas: [Lista]
+
+## Endpoints Críticos
+
+Liste os endpoints mais sensíveis:
+- [POST /api/auth/login]
+- [POST /api/payments]
+- [GET /api/users/:id]
+- [PUT /api/admin/*]
+
+## Ambiente de Teste
+
+- URL: [staging.example.com]
+- Credenciais teste: [user/pass ou como obter]
+
+---
+
+## Sua Missão
+
+Crie um checklist de pentest executável por desenvolvedores, com comandos e ferramentas:
+
+### 1. Reconhecimento
+
+#### 1.1 Mapeamento de Endpoints
+```bash
+# Usando ferramentas de crawling
+# Listar todos os endpoints descobertos
+# Identificar endpoints não documentados
+```
+
+Ferramentas:
+- [ ] Verificar sitemap.xml e robots.txt
+- [ ] Inspecionar JavaScript para endpoints hardcoded
+- [ ] Usar Burp Suite / OWASP ZAP para spider
+
+#### 1.2 Análise de Headers
+```bash
+# Verificar headers de resposta
+curl -I https://[URL]
+```
+
+Checklist:
+- [ ] X-Content-Type-Options: nosniff
+- [ ] X-Frame-Options: DENY/SAMEORIGIN
+- [ ] Content-Security-Policy configurado
+- [ ] Strict-Transport-Security presente
+- [ ] X-XSS-Protection (legacy browsers)
+- [ ] Server header não expõe versões
+
+### 2. Autenticação
+
+#### 2.1 Login Brute Force
+```bash
+# Testar rate limiting
+for i in {1..20}; do
+  curl -X POST [URL]/api/auth/login \
+    -d '{"email":"test@test.com","password":"wrong'$i'"}' \
+    -w "%{http_code}\n"
+done
+```
+
+- [ ] Rate limiting ativo após X tentativas
+- [ ] Lockout de conta após Y tentativas
+- [ ] Mensagens de erro não revelam se email existe
+
+#### 2.2 Password Policy
+- [ ] Mínimo 8 caracteres
+- [ ] Exige complexidade (maiúscula, número, especial)
+- [ ] Verifica contra senhas comuns
+- [ ] Verifica contra dados do usuário
+
+#### 2.3 Session Management
+```bash
+# Verificar atributos de cookie
+curl -c - [URL]/api/auth/login
+```
+
+- [ ] Cookie com HttpOnly
+- [ ] Cookie com Secure
+- [ ] Cookie com SameSite=Strict/Lax
+- [ ] Sessão expira em tempo razoável
+- [ ] Logout invalida sessão no servidor
+
+### 3. Autorização (IDOR/BOLA)
+
+#### 3.1 Acesso Horizontal
+```bash
+# Tentar acessar recurso de outro usuário
+# Login como user1, tentar acessar dados de user2
+curl -H "Authorization: Bearer [TOKEN_USER1]" \
+  [URL]/api/users/[ID_USER2]/profile
+```
+
+- [ ] Não consegue ver dados de outros usuários
+- [ ] Não consegue editar recursos de outros
+- [ ] Não consegue deletar recursos de outros
+
+#### 3.2 Acesso Vertical
+```bash
+# Tentar acessar endpoint admin como usuário comum
+curl -H "Authorization: Bearer [TOKEN_USER]" \
+  [URL]/api/admin/users
+```
+
+- [ ] Endpoints admin retornam 403 para usuários comuns
+- [ ] Funcionalidades admin não aparecem no frontend
+
+#### 3.3 Manipulação de IDs
+- [ ] IDs não são sequenciais previsíveis (UUID)
+- [ ] Ou validação de ownership é feita
+
+### 4. Injection
+
+#### 4.1 SQL Injection
+```bash
+# Payloads básicos
+curl "[URL]/api/search?q=test' OR '1'='1"
+curl "[URL]/api/search?q=test'; DROP TABLE users;--"
+curl "[URL]/api/users/1 OR 1=1"
+```
+
+- [ ] Queries parametrizadas usadas
+- [ ] Sem erros SQL expostos na resposta
+- [ ] WAF bloqueia payloads suspeitos
+
+#### 4.2 NoSQL Injection
+```bash
+# Para MongoDB
+curl -X POST [URL]/api/login \
+  -d '{"email":{"$gt":""},"password":{"$gt":""}}'
+```
+
+- [ ] Input validation antes das queries
+- [ ] Sem operadores MongoDB em inputs
+
+#### 4.3 Command Injection
+- [ ] Sem chamadas shell com input do usuário
+- [ ] Se necessário, whitelist de comandos
+
+### 5. XSS (Cross-Site Scripting)
+
+#### 5.1 Reflected XSS
+```bash
+# Testar em parâmetros de URL
+curl "[URL]/search?q=<script>alert('xss')</script>"
+```
+
+#### 5.2 Stored XSS
+```bash
+# Tentar salvar payload em campos
+curl -X POST [URL]/api/posts \
+  -d '{"title":"<img src=x onerror=alert(1)>"}'
+```
+
+Checklist:
+- [ ] Output encoding aplicado
+- [ ] CSP configurado corretamente
+- [ ] Sanitização de HTML (se permitir rich text)
+
+### 6. CSRF (Cross-Site Request Forgery)
+
+```html
+<!-- Tentar executar ação via página externa -->
+<form action="[URL]/api/settings" method="POST">
+  <input name="email" value="attacker@evil.com">
+</form>
+<script>document.forms[0].submit();</script>
+```
+
+- [ ] Token CSRF em formulários
+- [ ] Verificação de Origin/Referer
+- [ ] SameSite cookie attribute
+
+### 7. Upload de Arquivos
+
+```bash
+# Testar bypass de validação
+curl -X POST [URL]/api/upload \
+  -F "file=@malicious.php;type=image/png"
+```
+
+- [ ] Validação de tipo por magic bytes (não apenas extensão)
+- [ ] Renomeação de arquivos uploadados
+- [ ] Armazenamento fora do webroot
+- [ ] Limite de tamanho de arquivo
+- [ ] Scan de malware (se aplicável)
+
+### 8. API Security
+
+#### 8.1 Rate Limiting
+```bash
+# Testar limites
+for i in {1..100}; do
+  curl [URL]/api/expensive-operation &
+done
+wait
+```
+
+- [ ] Rate limit por IP
+- [ ] Rate limit por usuário
+- [ ] Resposta 429 Too Many Requests
+
+#### 8.2 Mass Assignment
+```bash
+# Tentar adicionar campos não permitidos
+curl -X PUT [URL]/api/users/me \
+  -d '{"name":"test","role":"admin","verified":true}'
+```
+
+- [ ] Whitelist de campos atualizáveis
+- [ ] Campos sensíveis ignorados
+
+### 9. Informação Sensível
+
+#### 9.1 Exposição em Respostas
+```bash
+# Verificar o que retorna nas APIs
+curl [URL]/api/users | jq
+```
+
+- [ ] Senhas nunca retornadas (nem hash)
+- [ ] Tokens internos não expostos
+- [ ] IDs internos não vazam
+
+#### 9.2 Erros e Debug
+```bash
+# Provocar erros
+curl [URL]/api/undefined-route
+curl "[URL]/api/users/abc" # ID inválido
+```
+
+- [ ] Stack traces não expostos
+- [ ] Versões de framework ocultas
+- [ ] Mensagens de erro genéricas
+
+### 10. Ferramentas Recomendadas
+
+| Ferramenta | Uso | Link |
+|------------|-----|------|
+| Burp Suite | Proxy, scanner | community edition gratuita |
+| OWASP ZAP | Proxy, scanner | open source |
+| sqlmap | SQL injection | open source |
+| Nikto | Web scanner | open source |
+| nuclei | Vulnerability scanner | open source |
+
+### 11. Relatório de Findings
+
+| ID | Vulnerabilidade | Severidade | Endpoint | PoC | Status |
+|----|-----------------|------------|----------|-----|--------|
+| V1 | [descrição] | [Crítico/Alto/Médio/Baixo] | [endpoint] | [como reproduzir] | [Aberto/Corrigido] |
+```
+
+---
+
+## Exemplo de Uso
+
+```text
+Atue como pentester especializado em aplicações web.
+
+## Contexto do Projeto
+
+Sistema de RH para gestão de funcionários. Permite cadastro, folha de pagamento, férias.
+
+## Stack
+
+- Backend: Node.js + Express
+- Frontend: React
+- Banco: PostgreSQL
+- Auth: JWT em localStorage
+
+## Endpoints Críticos
+
+- POST /api/auth/login
+- GET /api/employees/:id/salary
+- POST /api/payroll/generate
+- GET /api/admin/reports
+
+## Ambiente
+
+- URL: staging-rh.company.internal
+- Test user: test@company.com / Test123!
+```
+
+---
+
+## Checklist Pós-Geração
+
+- [ ] Headers de segurança verificados
+- [ ] Autenticação testada (brute force, session)
+- [ ] Autorização testada (IDOR, escalação)
+- [ ] Injection testada (SQL, NoSQL, Command)
+- [ ] XSS testada (reflected, stored)
+- [ ] CSRF verificado
+- [ ] Upload de arquivos testado (se aplicável)
+- [ ] Rate limiting verificado
+- [ ] Informações sensíveis verificadas
+- [ ] Relatório de findings documentado
+- [ ] Salvar em `docs/09-seguranca/pentest-checklist.md`