@maestro-ai/mcp-server 1.2.0 → 2.0.0

package/dist/content/prompts/requisitos/refinar-requisitos.txt

@@ -1,40 +0,0 @@
-Vou colar abaixo anotações soltas de reuniões com o cliente.
-
-Notas:
-[COLE TEXTO]
-
-Atue como analista de requisitos.
-Organize em:
-- visão resumida
-- requisitos funcionais ("O sistema deve ...")
-- requisitos não funcionais
-- dúvidas que precisam ser respondidas com o cliente
-- critérios de aceitação em Gherkin para os principais requisitos
-
----
-
-## Resposta Esperada (Exemplo)
-
-**Visão**: Sistema de agendamento online para salões de beleza.
-
-**Requisitos Funcionais**:
-- RF1: O sistema deve permitir que clientes agendem horários online
-- RF2: O sistema deve enviar confirmação via WhatsApp
-- RF3: O sistema deve permitir cancelamento até 2h antes
-
-**Requisitos Não-Funcionais**:
-- RNF1: Tempo de resposta < 2 segundos
-- RNF2: Disponibilidade 99.5%
-
-**Dúvidas**:
-- Quais serviços serão oferecidos?
-- Há limite de agendamentos por dia?
-
-**Gherkin (RF1)**:
-```gherkin
-Cenário: Cliente agenda horário
-  Dado que estou na página de agendamento
-  Quando seleciono o serviço "Corte"
-  E escolho o horário "14:00"
-  Então devo ver a confirmação do agendamento
-```

package/dist/content/prompts/seguranca/analise-seguranca.md

@@ -1,243 +0,0 @@
-# Prompt: Análise de Segurança
-
-> **Quando usar**: Antes de ir para produção, ou durante code review
-> **Especialista**: Segurança da Informação
-> **Nível**: Médio a Complexo
-
----
-
-## Fluxo de Contexto
-
-Antes de usar este prompt, tenha em mãos:
-- `docs/CONTEXTO.md` - Entendimento do projeto
-- `docs/05-arquitetura/arquitetura.md` - Arquitetura do sistema
-- Código-fonte a analisar (ou descrição técnica)
-
-Após gerar, salve o resultado em:
-- `docs/09-seguranca/analise-seguranca.md`
-
----
-
-## Prompt Completo
-
-```text
-Atue como especialista em segurança de aplicações (AppSec).
-
-## Contexto do Projeto
-
-[COLE O CONTEÚDO DE docs/CONTEXTO.md]
-
-## Arquitetura
-
-[DESCREVA A ARQUITETURA - Frontend, Backend, Banco, APIs externas]
-
-## Stack Tecnológica
-
-- Backend: [Framework/Linguagem]
-- Frontend: [Framework]
-- Banco de dados: [Tipo]
-- Autenticação: [Método atual - JWT, Sessions, OAuth]
-- Infraestrutura: [Cloud/On-premise]
-
-## Código/Fluxo a Analisar (opcional)
-
-```[LINGUAGEM]
-[COLE CÓDIGO ESPECÍFICO SE QUISER ANÁLISE PONTUAL]
-```
-
-## Dados Sensíveis no Sistema
-
-- [Liste tipos de dados: PII, financeiros, saúde, etc]
-
-## Compliance Requerido
-
-- [ ] LGPD
-- [ ] SOC2
-- [ ] PCI-DSS
-- [ ] HIPAA
-- [ ] Nenhum específico
-
----
-
-## Sua Missão
-
-Realize uma análise de segurança completa:
-
-### 1. OWASP Top 10 - Análise de Riscos
-
-Para cada item do OWASP Top 10 aplicável:
-
-| # | Vulnerabilidade | Risco no Sistema | Severidade | Mitigação |
-|---|-----------------|------------------|------------|-----------|
-| A01 | Broken Access Control | [Aplica/Não aplica] | [Crítico/Alto/Médio/Baixo] | [Ação] |
-| A02 | Cryptographic Failures | ... | ... | ... |
-| A03 | Injection | ... | ... | ... |
-| A04 | Insecure Design | ... | ... | ... |
-| A05 | Security Misconfiguration | ... | ... | ... |
-| A06 | Vulnerable Components | ... | ... | ... |
-| A07 | Auth Failures | ... | ... | ... |
-| A08 | Data Integrity Failures | ... | ... | ... |
-| A09 | Logging Failures | ... | ... | ... |
-| A10 | SSRF | ... | ... | ... |
-
-### 2. Autenticação e Autorização
-
-- Método de autenticação atual
-- Vulnerabilidades identificadas
-- Recomendações:
-  - Password policy
-  - MFA
-  - Session management
-  - Token handling (JWT best practices)
-  - RBAC/ABAC
-
-### 3. Proteção de Dados
-
-- Dados em repouso (at rest)
-  - Criptografia de banco
-  - Campos sensíveis
-- Dados em trânsito (in transit)
-  - TLS/HTTPS
-  - Certificate pinning (mobile)
-- Dados em uso
-  - Mascaramento em logs
-  - Sanitização de inputs
-
-### 4. Validação de Input
-
-- Onde inputs são recebidos
-- Riscos de injection (SQL, NoSQL, Command, LDAP)
-- XSS (Stored, Reflected, DOM-based)
-- Recomendações de sanitização
-
-### 5. API Security
-
-- Rate limiting
-- API keys / OAuth
-- Validação de payloads
-- CORS configuration
-- Versionamento seguro
-
-### 6. Infraestrutura
-
-- Secrets management
-- Network segmentation
-- WAF configuration
-- Container security (se aplicável)
-- Dependency scanning
-
-### 7. Logging e Monitoramento de Segurança
-
-- O que logar para auditoria
-- Detecção de ataques
-- Alertas de segurança
-- Retenção de logs
-
-### 8. Checklist de Hardening
-
-Para cada componente, verificar:
-- [ ] Headers de segurança (CSP, HSTS, X-Frame-Options)
-- [ ] Desabilitar debug em produção
-- [ ] Remover endpoints de desenvolvimento
-- [ ] Atualizar dependências
-- [ ] Configurar firewall corretamente
-
-### 9. Plano de Resposta a Incidentes
-
-- Passos iniciais ao detectar breach
-- Quem notificar
-- Como preservar evidências
-- Comunicação com usuários (LGPD)
-
-### 10. Priorização de Correções
-
-| Vulnerabilidade | Severidade | Esforço | Prioridade |
-|-----------------|------------|---------|------------|
-| [Vuln 1] | Crítico | Baixo | ⭐⭐⭐ URGENTE |
-| [Vuln 2] | Alto | Médio | ⭐⭐⭐ |
-| [Vuln 3] | Médio | Alto | ⭐⭐ |
-```
-
----
-
-## Exemplo de Uso
-
-```text
-Atue como especialista em segurança de aplicações (AppSec).
-
-## Contexto do Projeto
-
-Sistema de agendamento para salões de beleza.
-Clientes agendam online, dados são armazenados.
-
-## Arquitetura
-
-- Frontend: Next.js na Vercel
-- Backend: NestJS na AWS ECS
-- Banco: PostgreSQL RDS
-- Cache: Redis ElastiCache
-
-## Stack Tecnológica
-
-- Backend: NestJS + TypeScript
-- Frontend: Next.js + React
-- Banco de dados: PostgreSQL
-- Autenticação: JWT armazenado em httpOnly cookie
-- Infraestrutura: AWS
-
-## Dados Sensíveis no Sistema
-
-- Nome e telefone de clientes (PII)
-- Email dos clientes
-- Histórico de agendamentos
-- Senhas dos administradores (hash)
-
-## Compliance Requerido
-
-- [x] LGPD
-- [ ] SOC2
-- [ ] PCI-DSS
-- [ ] HIPAA
-```
-
----
-
-## Resposta Esperada (Resumo)
-
-### OWASP Top 10 - Resumo
-
-| # | Vulnerabilidade | Risco | Severidade |
-|---|-----------------|-------|------------|
-| A01 | Broken Access Control | Alto - Verificar IDOR | Crítico |
-| A02 | Cryptographic Failures | Médio - Verificar hash de senhas | Alto |
-| A03 | Injection | Baixo - Usando ORM | Médio |
-| A07 | Auth Failures | Médio - Verificar brute force | Alto |
-
-### Top 3 Prioridades
-
-1. **IDOR em endpoints** (Crítico, Esforço Baixo)
-   - Verificar autorização por recurso
-   - Implementar middleware de ownership
-
-2. **Rate Limiting** (Alto, Esforço Baixo)
-   - Adicionar limite em /login
-   - Adicionar limite em /api/*
-
-3. **Audit Logging** (Médio, Esforço Médio)
-   - Logar ações administrativas
-   - Logar acessos a dados sensíveis
-
----
-
-## Checklist Pós-Geração
-
-- [ ] OWASP Top 10 analisado
-- [ ] Autenticação e autorização revisadas
-- [ ] Proteção de dados mapeada
-- [ ] Input validation verificada
-- [ ] API security checklist completo
-- [ ] Secrets management verificado
-- [ ] Logging de segurança configurado
-- [ ] Priorização de correções definida
-- [ ] LGPD compliance verificado (se aplicável)
-- [ ] Salvar em `docs/09-seguranca/analise-seguranca.md`

package/dist/content/prompts/seguranca/pentest-checklist.md

@@ -1,333 +0,0 @@
-# Prompt: Checklist de Pentest para Desenvolvedores
-
-> **Quando usar**: Antes de releases, após implementar autenticação/autorização
-> **Especialista**: [Segurança da Informação](../../02-especialistas/Especialista%20em%20Segurança%20da%20Informação.md)
-> **Nível**: Médio
-
----
-
-## Fluxo de Contexto
-
-Antes de usar este prompt, tenha em mãos:
-- `docs/CONTEXTO.md` - Entendimento do projeto
-- `docs/05-arquitetura/arquitetura.md` - Arquitetura e endpoints
-- URLs de ambiente de staging/desenvolvimento
-
-Após gerar, salve o resultado em:
-- `docs/09-seguranca/pentest-checklist.md`
-
----
-
-## Prompt Completo
-
-```text
-Atue como pentester especializado em aplicações web.
-
-## Contexto do Projeto
-
-[COLE O CONTEÚDO DE docs/CONTEXTO.md]
-
-## Stack Tecnológica
-
-- Backend: [Framework/Linguagem]
-- Frontend: [Framework]
-- Banco de dados: [Tipo]
-- Autenticação: [JWT/Sessions/OAuth]
-- APIs externas: [Lista]
-
-## Endpoints Críticos
-
-Liste os endpoints mais sensíveis:
-- [POST /api/auth/login]
-- [POST /api/payments]
-- [GET /api/users/:id]
-- [PUT /api/admin/*]
-
-## Ambiente de Teste
-
-- URL: [staging.example.com]
-- Credenciais teste: [user/pass ou como obter]
-
----
-
-## Sua Missão
-
-Crie um checklist de pentest executável por desenvolvedores, com comandos e ferramentas:
-
-### 1. Reconhecimento
-
-#### 1.1 Mapeamento de Endpoints
-```bash
-# Usando ferramentas de crawling
-# Listar todos os endpoints descobertos
-# Identificar endpoints não documentados
-```
-
-Ferramentas:
-- [ ] Verificar sitemap.xml e robots.txt
-- [ ] Inspecionar JavaScript para endpoints hardcoded
-- [ ] Usar Burp Suite / OWASP ZAP para spider
-
-#### 1.2 Análise de Headers
-```bash
-# Verificar headers de resposta
-curl -I https://[URL]
-```
-
-Checklist:
-- [ ] X-Content-Type-Options: nosniff
-- [ ] X-Frame-Options: DENY/SAMEORIGIN
-- [ ] Content-Security-Policy configurado
-- [ ] Strict-Transport-Security presente
-- [ ] X-XSS-Protection (legacy browsers)
-- [ ] Server header não expõe versões
-
-### 2. Autenticação
-
-#### 2.1 Login Brute Force
-```bash
-# Testar rate limiting
-for i in {1..20}; do
-  curl -X POST [URL]/api/auth/login \
-    -d '{"email":"test@test.com","password":"wrong'$i'"}' \
-    -w "%{http_code}\n"
-done
-```
-
-- [ ] Rate limiting ativo após X tentativas
-- [ ] Lockout de conta após Y tentativas
-- [ ] Mensagens de erro não revelam se email existe
-
-#### 2.2 Password Policy
-- [ ] Mínimo 8 caracteres
-- [ ] Exige complexidade (maiúscula, número, especial)
-- [ ] Verifica contra senhas comuns
-- [ ] Verifica contra dados do usuário
-
-#### 2.3 Session Management
-```bash
-# Verificar atributos de cookie
-curl -c - [URL]/api/auth/login
-```
-
-- [ ] Cookie com HttpOnly
-- [ ] Cookie com Secure
-- [ ] Cookie com SameSite=Strict/Lax
-- [ ] Sessão expira em tempo razoável
-- [ ] Logout invalida sessão no servidor
-
-### 3. Autorização (IDOR/BOLA)
-
-#### 3.1 Acesso Horizontal
-```bash
-# Tentar acessar recurso de outro usuário
-# Login como user1, tentar acessar dados de user2
-curl -H "Authorization: Bearer [TOKEN_USER1]" \
-  [URL]/api/users/[ID_USER2]/profile
-```
-
-- [ ] Não consegue ver dados de outros usuários
-- [ ] Não consegue editar recursos de outros
-- [ ] Não consegue deletar recursos de outros
-
-#### 3.2 Acesso Vertical
-```bash
-# Tentar acessar endpoint admin como usuário comum
-curl -H "Authorization: Bearer [TOKEN_USER]" \
-  [URL]/api/admin/users
-```
-
-- [ ] Endpoints admin retornam 403 para usuários comuns
-- [ ] Funcionalidades admin não aparecem no frontend
-
-#### 3.3 Manipulação de IDs
-- [ ] IDs não são sequenciais previsíveis (UUID)
-- [ ] Ou validação de ownership é feita
-
-### 4. Injection
-
-#### 4.1 SQL Injection
-```bash
-# Payloads básicos
-curl "[URL]/api/search?q=test' OR '1'='1"
-curl "[URL]/api/search?q=test'; DROP TABLE users;--"
-curl "[URL]/api/users/1 OR 1=1"
-```
-
-- [ ] Queries parametrizadas usadas
-- [ ] Sem erros SQL expostos na resposta
-- [ ] WAF bloqueia payloads suspeitos
-
-#### 4.2 NoSQL Injection
-```bash
-# Para MongoDB
-curl -X POST [URL]/api/login \
-  -d '{"email":{"$gt":""},"password":{"$gt":""}}'
-```
-
-- [ ] Input validation antes das queries
-- [ ] Sem operadores MongoDB em inputs
-
-#### 4.3 Command Injection
-- [ ] Sem chamadas shell com input do usuário
-- [ ] Se necessário, whitelist de comandos
-
-### 5. XSS (Cross-Site Scripting)
-
-#### 5.1 Reflected XSS
-```bash
-# Testar em parâmetros de URL
-curl "[URL]/search?q=<script>alert('xss')</script>"
-```
-
-#### 5.2 Stored XSS
-```bash
-# Tentar salvar payload em campos
-curl -X POST [URL]/api/posts \
-  -d '{"title":"<img src=x onerror=alert(1)>"}'
-```
-
-Checklist:
-- [ ] Output encoding aplicado
-- [ ] CSP configurado corretamente
-- [ ] Sanitização de HTML (se permitir rich text)
-
-### 6. CSRF (Cross-Site Request Forgery)
-
-```html
-<!-- Tentar executar ação via página externa -->
-<form action="[URL]/api/settings" method="POST">
-  <input name="email" value="attacker@evil.com">
-</form>
-<script>document.forms[0].submit();</script>
-```
-
-- [ ] Token CSRF em formulários
-- [ ] Verificação de Origin/Referer
-- [ ] SameSite cookie attribute
-
-### 7. Upload de Arquivos
-
-```bash
-# Testar bypass de validação
-curl -X POST [URL]/api/upload \
-  -F "file=@malicious.php;type=image/png"
-```
-
-- [ ] Validação de tipo por magic bytes (não apenas extensão)
-- [ ] Renomeação de arquivos uploadados
-- [ ] Armazenamento fora do webroot
-- [ ] Limite de tamanho de arquivo
-- [ ] Scan de malware (se aplicável)
-
-### 8. API Security
-
-#### 8.1 Rate Limiting
-```bash
-# Testar limites
-for i in {1..100}; do
-  curl [URL]/api/expensive-operation &
-done
-wait
-```
-
-- [ ] Rate limit por IP
-- [ ] Rate limit por usuário
-- [ ] Resposta 429 Too Many Requests
-
-#### 8.2 Mass Assignment
-```bash
-# Tentar adicionar campos não permitidos
-curl -X PUT [URL]/api/users/me \
-  -d '{"name":"test","role":"admin","verified":true}'
-```
-
-- [ ] Whitelist de campos atualizáveis
-- [ ] Campos sensíveis ignorados
-
-### 9. Informação Sensível
-
-#### 9.1 Exposição em Respostas
-```bash
-# Verificar o que retorna nas APIs
-curl [URL]/api/users | jq
-```
-
-- [ ] Senhas nunca retornadas (nem hash)
-- [ ] Tokens internos não expostos
-- [ ] IDs internos não vazam
-
-#### 9.2 Erros e Debug
-```bash
-# Provocar erros
-curl [URL]/api/undefined-route
-curl "[URL]/api/users/abc" # ID inválido
-```
-
-- [ ] Stack traces não expostos
-- [ ] Versões de framework ocultas
-- [ ] Mensagens de erro genéricas
-
-### 10. Ferramentas Recomendadas
-
-| Ferramenta | Uso | Link |
-|------------|-----|------|
-| Burp Suite | Proxy, scanner | community edition gratuita |
-| OWASP ZAP | Proxy, scanner | open source |
-| sqlmap | SQL injection | open source |
-| Nikto | Web scanner | open source |
-| nuclei | Vulnerability scanner | open source |
-
-### 11. Relatório de Findings
-
-| ID | Vulnerabilidade | Severidade | Endpoint | PoC | Status |
-|----|-----------------|------------|----------|-----|--------|
-| V1 | [descrição] | [Crítico/Alto/Médio/Baixo] | [endpoint] | [como reproduzir] | [Aberto/Corrigido] |
-```
-
----
-
-## Exemplo de Uso
-
-```text
-Atue como pentester especializado em aplicações web.
-
-## Contexto do Projeto
-
-Sistema de RH para gestão de funcionários. Permite cadastro, folha de pagamento, férias.
-
-## Stack
-
-- Backend: Node.js + Express
-- Frontend: React
-- Banco: PostgreSQL
-- Auth: JWT em localStorage
-
-## Endpoints Críticos
-
-- POST /api/auth/login
-- GET /api/employees/:id/salary
-- POST /api/payroll/generate
-- GET /api/admin/reports
-
-## Ambiente
-
-- URL: staging-rh.company.internal
-- Test user: test@company.com / Test123!
-```
-
----
-
-## Checklist Pós-Geração
-
-- [ ] Headers de segurança verificados
-- [ ] Autenticação testada (brute force, session)
-- [ ] Autorização testada (IDOR, escalação)
-- [ ] Injection testada (SQL, NoSQL, Command)
-- [ ] XSS testada (reflected, stored)
-- [ ] CSRF verificado
-- [ ] Upload de arquivos testado (se aplicável)
-- [ ] Rate limiting verificado
-- [ ] Informações sensíveis verificadas
-- [ ] Relatório de findings documentado
-- [ ] Salvar em `docs/09-seguranca/pentest-checklist.md`