npm - @maestro-ai/mcp-server - Versions diffs - 1.0.0 → 1.1.0 - Mend

@maestro-ai/mcp-server 1.0.0 → 1.1.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (448) hide show

package/dist/content/prompts/seguranca/pentest-checklist.md CHANGED Viewed

@@ -1,333 +1,333 @@
-# Prompt: Checklist de Pentest para Desenvolvedores
-> **Quando usar**: Antes de releases, após implementar autenticação/autorização
-> **Especialista**: [Segurança da Informação](../../02-especialistas/Especialista%20em%20Segurança%20da%20Informação.md)
-> **Nível**: Médio
----
-## Fluxo de Contexto
-Antes de usar este prompt, tenha em mãos:
-- `docs/CONTEXTO.md` - Entendimento do projeto
-- `docs/05-arquitetura/arquitetura.md` - Arquitetura e endpoints
-- URLs de ambiente de staging/desenvolvimento
-Após gerar, salve o resultado em:
-- `docs/09-seguranca/pentest-checklist.md`
----
-## Prompt Completo
-```text
-Atue como pentester especializado em aplicações web.
-## Contexto do Projeto
-[COLE O CONTEÚDO DE docs/CONTEXTO.md]
-## Stack Tecnológica
-- Backend: [Framework/Linguagem]
-- Frontend: [Framework]
-- Banco de dados: [Tipo]
-- Autenticação: [JWT/Sessions/OAuth]
-- APIs externas: [Lista]
-## Endpoints Críticos
-Liste os endpoints mais sensíveis:
-- [POST /api/auth/login]
-- [POST /api/payments]
-- [GET /api/users/:id]
-- [PUT /api/admin/*]
-## Ambiente de Teste
-- URL: [staging.example.com]
-- Credenciais teste: [user/pass ou como obter]
----
-## Sua Missão
-Crie um checklist de pentest executável por desenvolvedores, com comandos e ferramentas:
-### 1. Reconhecimento
-#### 1.1 Mapeamento de Endpoints
-```bash
-# Usando ferramentas de crawling
-# Listar todos os endpoints descobertos
-# Identificar endpoints não documentados
-```
-Ferramentas:
-- [ ] Verificar sitemap.xml e robots.txt
-- [ ] Inspecionar JavaScript para endpoints hardcoded
-- [ ] Usar Burp Suite / OWASP ZAP para spider
-#### 1.2 Análise de Headers
-```bash
-# Verificar headers de resposta
-curl -I https://[URL]
-```
-Checklist:
-- [ ] X-Content-Type-Options: nosniff
-- [ ] X-Frame-Options: DENY/SAMEORIGIN
-- [ ] Content-Security-Policy configurado
-- [ ] Strict-Transport-Security presente
-- [ ] X-XSS-Protection (legacy browsers)
-- [ ] Server header não expõe versões
-### 2. Autenticação
-#### 2.1 Login Brute Force
-```bash
-# Testar rate limiting
-for i in {1..20}; do
-  curl -X POST [URL]/api/auth/login \
-    -d '{"email":"test@test.com","password":"wrong'$i'"}' \
-    -w "%{http_code}\n"
-done
-```
-- [ ] Rate limiting ativo após X tentativas
-- [ ] Lockout de conta após Y tentativas
-- [ ] Mensagens de erro não revelam se email existe
-#### 2.2 Password Policy
-- [ ] Mínimo 8 caracteres
-- [ ] Exige complexidade (maiúscula, número, especial)
-- [ ] Verifica contra senhas comuns
-- [ ] Verifica contra dados do usuário
-#### 2.3 Session Management
-```bash
-# Verificar atributos de cookie
-curl -c - [URL]/api/auth/login
-```
-- [ ] Cookie com HttpOnly
-- [ ] Cookie com Secure
-- [ ] Cookie com SameSite=Strict/Lax
-- [ ] Sessão expira em tempo razoável
-- [ ] Logout invalida sessão no servidor
-### 3. Autorização (IDOR/BOLA)
-#### 3.1 Acesso Horizontal
-```bash
-# Tentar acessar recurso de outro usuário
-# Login como user1, tentar acessar dados de user2
-curl -H "Authorization: Bearer [TOKEN_USER1]" \
-  [URL]/api/users/[ID_USER2]/profile
-```
-- [ ] Não consegue ver dados de outros usuários
-- [ ] Não consegue editar recursos de outros
-- [ ] Não consegue deletar recursos de outros
-#### 3.2 Acesso Vertical
-```bash
-# Tentar acessar endpoint admin como usuário comum
-curl -H "Authorization: Bearer [TOKEN_USER]" \
-  [URL]/api/admin/users
-```
-- [ ] Endpoints admin retornam 403 para usuários comuns
-- [ ] Funcionalidades admin não aparecem no frontend
-#### 3.3 Manipulação de IDs
-- [ ] IDs não são sequenciais previsíveis (UUID)
-- [ ] Ou validação de ownership é feita
-### 4. Injection
-#### 4.1 SQL Injection
-```bash
-# Payloads básicos
-curl "[URL]/api/search?q=test' OR '1'='1"
-curl "[URL]/api/search?q=test'; DROP TABLE users;--"
-curl "[URL]/api/users/1 OR 1=1"
-```
-- [ ] Queries parametrizadas usadas
-- [ ] Sem erros SQL expostos na resposta
-- [ ] WAF bloqueia payloads suspeitos
-#### 4.2 NoSQL Injection
-```bash
-# Para MongoDB
-curl -X POST [URL]/api/login \
-  -d '{"email":{"$gt":""},"password":{"$gt":""}}'
-```
-- [ ] Input validation antes das queries
-- [ ] Sem operadores MongoDB em inputs
-#### 4.3 Command Injection
-- [ ] Sem chamadas shell com input do usuário
-- [ ] Se necessário, whitelist de comandos
-### 5. XSS (Cross-Site Scripting)
-#### 5.1 Reflected XSS
-```bash
-# Testar em parâmetros de URL
-curl "[URL]/search?q=<script>alert('xss')</script>"
-```
-#### 5.2 Stored XSS
-```bash
-# Tentar salvar payload em campos
-curl -X POST [URL]/api/posts \
-  -d '{"title":"<img src=x onerror=alert(1)>"}'
-```
-Checklist:
-- [ ] Output encoding aplicado
-- [ ] CSP configurado corretamente
-- [ ] Sanitização de HTML (se permitir rich text)
-### 6. CSRF (Cross-Site Request Forgery)
-```html
-<!-- Tentar executar ação via página externa -->
-<form action="[URL]/api/settings" method="POST">
-  <input name="email" value="attacker@evil.com">
-</form>
-<script>document.forms[0].submit();</script>
-```
-- [ ] Token CSRF em formulários
-- [ ] Verificação de Origin/Referer
-- [ ] SameSite cookie attribute
-### 7. Upload de Arquivos
-```bash
-# Testar bypass de validação
-curl -X POST [URL]/api/upload \
-  -F "file=@malicious.php;type=image/png"
-```
-- [ ] Validação de tipo por magic bytes (não apenas extensão)
-- [ ] Renomeação de arquivos uploadados
-- [ ] Armazenamento fora do webroot
-- [ ] Limite de tamanho de arquivo
-- [ ] Scan de malware (se aplicável)
-### 8. API Security
-#### 8.1 Rate Limiting
-```bash
-# Testar limites
-for i in {1..100}; do
-  curl [URL]/api/expensive-operation &
-done
-wait
-```
-- [ ] Rate limit por IP
-- [ ] Rate limit por usuário
-- [ ] Resposta 429 Too Many Requests
-#### 8.2 Mass Assignment
-```bash
-# Tentar adicionar campos não permitidos
-curl -X PUT [URL]/api/users/me \
-  -d '{"name":"test","role":"admin","verified":true}'
-```
-- [ ] Whitelist de campos atualizáveis
-- [ ] Campos sensíveis ignorados
-### 9. Informação Sensível
-#### 9.1 Exposição em Respostas
-```bash
-# Verificar o que retorna nas APIs
-curl [URL]/api/users | jq
-```
-- [ ] Senhas nunca retornadas (nem hash)
-- [ ] Tokens internos não expostos
-- [ ] IDs internos não vazam
-#### 9.2 Erros e Debug
-```bash
-# Provocar erros
-curl [URL]/api/undefined-route
-curl "[URL]/api/users/abc" # ID inválido
-```
-- [ ] Stack traces não expostos
-- [ ] Versões de framework ocultas
-- [ ] Mensagens de erro genéricas
-### 10. Ferramentas Recomendadas
-| Ferramenta | Uso | Link |
-|------------|-----|------|
-| Burp Suite | Proxy, scanner | community edition gratuita |
-| OWASP ZAP | Proxy, scanner | open source |
-| sqlmap | SQL injection | open source |
-| Nikto | Web scanner | open source |
-| nuclei | Vulnerability scanner | open source |
-### 11. Relatório de Findings
-| ID | Vulnerabilidade | Severidade | Endpoint | PoC | Status |
-|----|-----------------|------------|----------|-----|--------|
-| V1 | [descrição] | [Crítico/Alto/Médio/Baixo] | [endpoint] | [como reproduzir] | [Aberto/Corrigido] |
-```
----
-## Exemplo de Uso
-```text
-Atue como pentester especializado em aplicações web.
-## Contexto do Projeto
-Sistema de RH para gestão de funcionários. Permite cadastro, folha de pagamento, férias.
-## Stack
-- Backend: Node.js + Express
-- Frontend: React
-- Banco: PostgreSQL
-- Auth: JWT em localStorage
-## Endpoints Críticos
-- POST /api/auth/login
-- GET /api/employees/:id/salary
-- POST /api/payroll/generate
-- GET /api/admin/reports
-## Ambiente
-- URL: staging-rh.company.internal
-- Test user: test@company.com / Test123!
-```
----
-## Checklist Pós-Geração
-- [ ] Headers de segurança verificados
-- [ ] Autenticação testada (brute force, session)
-- [ ] Autorização testada (IDOR, escalação)
-- [ ] Injection testada (SQL, NoSQL, Command)
-- [ ] XSS testada (reflected, stored)
-- [ ] CSRF verificado
-- [ ] Upload de arquivos testado (se aplicável)
-- [ ] Rate limiting verificado
-- [ ] Informações sensíveis verificadas
-- [ ] Relatório de findings documentado
-- [ ] Salvar em `docs/09-seguranca/pentest-checklist.md`
+# Prompt: Checklist de Pentest para Desenvolvedores
+> **Quando usar**: Antes de releases, após implementar autenticação/autorização
+> **Especialista**: [Segurança da Informação](../../02-especialistas/Especialista%20em%20Segurança%20da%20Informação.md)
+> **Nível**: Médio
+---
+## Fluxo de Contexto
+Antes de usar este prompt, tenha em mãos:
+- `docs/CONTEXTO.md` - Entendimento do projeto
+- `docs/05-arquitetura/arquitetura.md` - Arquitetura e endpoints
+- URLs de ambiente de staging/desenvolvimento
+Após gerar, salve o resultado em:
+- `docs/09-seguranca/pentest-checklist.md`
+---
+## Prompt Completo
+```text
+Atue como pentester especializado em aplicações web.
+## Contexto do Projeto
+[COLE O CONTEÚDO DE docs/CONTEXTO.md]
+## Stack Tecnológica
+- Backend: [Framework/Linguagem]
+- Frontend: [Framework]
+- Banco de dados: [Tipo]
+- Autenticação: [JWT/Sessions/OAuth]
+- APIs externas: [Lista]
+## Endpoints Críticos
+Liste os endpoints mais sensíveis:
+- [POST /api/auth/login]
+- [POST /api/payments]
+- [GET /api/users/:id]
+- [PUT /api/admin/*]
+## Ambiente de Teste
+- URL: [staging.example.com]
+- Credenciais teste: [user/pass ou como obter]
+---
+## Sua Missão
+Crie um checklist de pentest executável por desenvolvedores, com comandos e ferramentas:
+### 1. Reconhecimento
+#### 1.1 Mapeamento de Endpoints
+```bash
+# Usando ferramentas de crawling
+# Listar todos os endpoints descobertos
+# Identificar endpoints não documentados
+```
+Ferramentas:
+- [ ] Verificar sitemap.xml e robots.txt
+- [ ] Inspecionar JavaScript para endpoints hardcoded
+- [ ] Usar Burp Suite / OWASP ZAP para spider
+#### 1.2 Análise de Headers
+```bash
+# Verificar headers de resposta
+curl -I https://[URL]
+```
+Checklist:
+- [ ] X-Content-Type-Options: nosniff
+- [ ] X-Frame-Options: DENY/SAMEORIGIN
+- [ ] Content-Security-Policy configurado
+- [ ] Strict-Transport-Security presente
+- [ ] X-XSS-Protection (legacy browsers)
+- [ ] Server header não expõe versões
+### 2. Autenticação
+#### 2.1 Login Brute Force
+```bash
+# Testar rate limiting
+for i in {1..20}; do
+  curl -X POST [URL]/api/auth/login \
+    -d '{"email":"test@test.com","password":"wrong'$i'"}' \
+    -w "%{http_code}\n"
+done
+```
+- [ ] Rate limiting ativo após X tentativas
+- [ ] Lockout de conta após Y tentativas
+- [ ] Mensagens de erro não revelam se email existe
+#### 2.2 Password Policy
+- [ ] Mínimo 8 caracteres
+- [ ] Exige complexidade (maiúscula, número, especial)
+- [ ] Verifica contra senhas comuns
+- [ ] Verifica contra dados do usuário
+#### 2.3 Session Management
+```bash
+# Verificar atributos de cookie
+curl -c - [URL]/api/auth/login
+```
+- [ ] Cookie com HttpOnly
+- [ ] Cookie com Secure
+- [ ] Cookie com SameSite=Strict/Lax
+- [ ] Sessão expira em tempo razoável
+- [ ] Logout invalida sessão no servidor
+### 3. Autorização (IDOR/BOLA)
+#### 3.1 Acesso Horizontal
+```bash
+# Tentar acessar recurso de outro usuário
+# Login como user1, tentar acessar dados de user2
+curl -H "Authorization: Bearer [TOKEN_USER1]" \
+  [URL]/api/users/[ID_USER2]/profile
+```
+- [ ] Não consegue ver dados de outros usuários
+- [ ] Não consegue editar recursos de outros
+- [ ] Não consegue deletar recursos de outros
+#### 3.2 Acesso Vertical
+```bash
+# Tentar acessar endpoint admin como usuário comum
+curl -H "Authorization: Bearer [TOKEN_USER]" \
+  [URL]/api/admin/users
+```
+- [ ] Endpoints admin retornam 403 para usuários comuns
+- [ ] Funcionalidades admin não aparecem no frontend
+#### 3.3 Manipulação de IDs
+- [ ] IDs não são sequenciais previsíveis (UUID)
+- [ ] Ou validação de ownership é feita
+### 4. Injection
+#### 4.1 SQL Injection
+```bash
+# Payloads básicos
+curl "[URL]/api/search?q=test' OR '1'='1"
+curl "[URL]/api/search?q=test'; DROP TABLE users;--"
+curl "[URL]/api/users/1 OR 1=1"
+```
+- [ ] Queries parametrizadas usadas
+- [ ] Sem erros SQL expostos na resposta
+- [ ] WAF bloqueia payloads suspeitos
+#### 4.2 NoSQL Injection
+```bash
+# Para MongoDB
+curl -X POST [URL]/api/login \
+  -d '{"email":{"$gt":""},"password":{"$gt":""}}'
+```
+- [ ] Input validation antes das queries
+- [ ] Sem operadores MongoDB em inputs
+#### 4.3 Command Injection
+- [ ] Sem chamadas shell com input do usuário
+- [ ] Se necessário, whitelist de comandos
+### 5. XSS (Cross-Site Scripting)
+#### 5.1 Reflected XSS
+```bash
+# Testar em parâmetros de URL
+curl "[URL]/search?q=<script>alert('xss')</script>"
+```
+#### 5.2 Stored XSS
+```bash
+# Tentar salvar payload em campos
+curl -X POST [URL]/api/posts \
+  -d '{"title":"<img src=x onerror=alert(1)>"}'
+```
+Checklist:
+- [ ] Output encoding aplicado
+- [ ] CSP configurado corretamente
+- [ ] Sanitização de HTML (se permitir rich text)
+### 6. CSRF (Cross-Site Request Forgery)
+```html
+<!-- Tentar executar ação via página externa -->
+<form action="[URL]/api/settings" method="POST">
+  <input name="email" value="attacker@evil.com">
+</form>
+<script>document.forms[0].submit();</script>
+```
+- [ ] Token CSRF em formulários
+- [ ] Verificação de Origin/Referer
+- [ ] SameSite cookie attribute
+### 7. Upload de Arquivos
+```bash
+# Testar bypass de validação
+curl -X POST [URL]/api/upload \
+  -F "file=@malicious.php;type=image/png"
+```
+- [ ] Validação de tipo por magic bytes (não apenas extensão)
+- [ ] Renomeação de arquivos uploadados
+- [ ] Armazenamento fora do webroot
+- [ ] Limite de tamanho de arquivo
+- [ ] Scan de malware (se aplicável)
+### 8. API Security
+#### 8.1 Rate Limiting
+```bash
+# Testar limites
+for i in {1..100}; do
+  curl [URL]/api/expensive-operation &
+done
+wait
+```
+- [ ] Rate limit por IP
+- [ ] Rate limit por usuário
+- [ ] Resposta 429 Too Many Requests
+#### 8.2 Mass Assignment
+```bash
+# Tentar adicionar campos não permitidos
+curl -X PUT [URL]/api/users/me \
+  -d '{"name":"test","role":"admin","verified":true}'
+```
+- [ ] Whitelist de campos atualizáveis
+- [ ] Campos sensíveis ignorados
+### 9. Informação Sensível
+#### 9.1 Exposição em Respostas
+```bash
+# Verificar o que retorna nas APIs
+curl [URL]/api/users | jq
+```
+- [ ] Senhas nunca retornadas (nem hash)
+- [ ] Tokens internos não expostos
+- [ ] IDs internos não vazam
+#### 9.2 Erros e Debug
+```bash
+# Provocar erros
+curl [URL]/api/undefined-route
+curl "[URL]/api/users/abc" # ID inválido
+```
+- [ ] Stack traces não expostos
+- [ ] Versões de framework ocultas
+- [ ] Mensagens de erro genéricas
+### 10. Ferramentas Recomendadas
+| Ferramenta | Uso | Link |
+|------------|-----|------|
+| Burp Suite | Proxy, scanner | community edition gratuita |
+| OWASP ZAP | Proxy, scanner | open source |
+| sqlmap | SQL injection | open source |
+| Nikto | Web scanner | open source |
+| nuclei | Vulnerability scanner | open source |
+### 11. Relatório de Findings
+| ID | Vulnerabilidade | Severidade | Endpoint | PoC | Status |
+|----|-----------------|------------|----------|-----|--------|
+| V1 | [descrição] | [Crítico/Alto/Médio/Baixo] | [endpoint] | [como reproduzir] | [Aberto/Corrigido] |
+```
+---
+## Exemplo de Uso
+```text
+Atue como pentester especializado em aplicações web.
+## Contexto do Projeto
+Sistema de RH para gestão de funcionários. Permite cadastro, folha de pagamento, férias.
+## Stack
+- Backend: Node.js + Express
+- Frontend: React
+- Banco: PostgreSQL
+- Auth: JWT em localStorage
+## Endpoints Críticos
+- POST /api/auth/login
+- GET /api/employees/:id/salary
+- POST /api/payroll/generate
+- GET /api/admin/reports
+## Ambiente
+- URL: staging-rh.company.internal
+- Test user: test@company.com / Test123!
+```
+---
+## Checklist Pós-Geração
+- [ ] Headers de segurança verificados
+- [ ] Autenticação testada (brute force, session)
+- [ ] Autorização testada (IDOR, escalação)
+- [ ] Injection testada (SQL, NoSQL, Command)
+- [ ] XSS testada (reflected, stored)
+- [ ] CSRF verificado
+- [ ] Upload de arquivos testado (se aplicável)
+- [ ] Rate limiting verificado
+- [ ] Informações sensíveis verificadas
+- [ ] Relatório de findings documentado
+- [ ] Salvar em `docs/09-seguranca/pentest-checklist.md`