npm - @maestro-ai/mcp-server - Versions diffs - 1.2.0 → 2.1.0 - Mend

@maestro-ai/mcp-server 1.2.0 → 2.1.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (824) hide show

package/dist/content/prompts/requisitos/refinar-requisitos.txt DELETED Viewed

@@ -1,40 +0,0 @@
-Vou colar abaixo anotações soltas de reuniões com o cliente.
-Notas:
-[COLE TEXTO]
-Atue como analista de requisitos.
-Organize em:
-- visão resumida
-- requisitos funcionais ("O sistema deve ...")
-- requisitos não funcionais
-- dúvidas que precisam ser respondidas com o cliente
-- critérios de aceitação em Gherkin para os principais requisitos
----
-## Resposta Esperada (Exemplo)
-**Visão**: Sistema de agendamento online para salões de beleza.
-**Requisitos Funcionais**:
-- RF1: O sistema deve permitir que clientes agendem horários online
-- RF2: O sistema deve enviar confirmação via WhatsApp
-- RF3: O sistema deve permitir cancelamento até 2h antes
-**Requisitos Não-Funcionais**:
-- RNF1: Tempo de resposta < 2 segundos
-- RNF2: Disponibilidade 99.5%
-**Dúvidas**:
-- Quais serviços serão oferecidos?
-- Há limite de agendamentos por dia?
-**Gherkin (RF1)**:
-```gherkin
-Cenário: Cliente agenda horário
-  Dado que estou na página de agendamento
-  Quando seleciono o serviço "Corte"
-  E escolho o horário "14:00"
-  Então devo ver a confirmação do agendamento
-```

package/dist/content/prompts/seguranca/analise-seguranca.md DELETED Viewed

@@ -1,243 +0,0 @@
-# Prompt: Análise de Segurança
-> **Quando usar**: Antes de ir para produção, ou durante code review
-> **Especialista**: Segurança da Informação
-> **Nível**: Médio a Complexo
----
-## Fluxo de Contexto
-Antes de usar este prompt, tenha em mãos:
-- `docs/CONTEXTO.md` - Entendimento do projeto
-- `docs/05-arquitetura/arquitetura.md` - Arquitetura do sistema
-- Código-fonte a analisar (ou descrição técnica)
-Após gerar, salve o resultado em:
-- `docs/09-seguranca/analise-seguranca.md`
----
-## Prompt Completo
-```text
-Atue como especialista em segurança de aplicações (AppSec).
-## Contexto do Projeto
-[COLE O CONTEÚDO DE docs/CONTEXTO.md]
-## Arquitetura
-[DESCREVA A ARQUITETURA - Frontend, Backend, Banco, APIs externas]
-## Stack Tecnológica
-- Backend: [Framework/Linguagem]
-- Frontend: [Framework]
-- Banco de dados: [Tipo]
-- Autenticação: [Método atual - JWT, Sessions, OAuth]
-- Infraestrutura: [Cloud/On-premise]
-## Código/Fluxo a Analisar (opcional)
-```[LINGUAGEM]
-[COLE CÓDIGO ESPECÍFICO SE QUISER ANÁLISE PONTUAL]
-```
-## Dados Sensíveis no Sistema
-- [Liste tipos de dados: PII, financeiros, saúde, etc]
-## Compliance Requerido
-- [ ] LGPD
-- [ ] SOC2
-- [ ] PCI-DSS
-- [ ] HIPAA
-- [ ] Nenhum específico
----
-## Sua Missão
-Realize uma análise de segurança completa:
-### 1. OWASP Top 10 - Análise de Riscos
-Para cada item do OWASP Top 10 aplicável:
-| # | Vulnerabilidade | Risco no Sistema | Severidade | Mitigação |
-|---|-----------------|------------------|------------|-----------|
-| A01 | Broken Access Control | [Aplica/Não aplica] | [Crítico/Alto/Médio/Baixo] | [Ação] |
-| A02 | Cryptographic Failures | ... | ... | ... |
-| A03 | Injection | ... | ... | ... |
-| A04 | Insecure Design | ... | ... | ... |
-| A05 | Security Misconfiguration | ... | ... | ... |
-| A06 | Vulnerable Components | ... | ... | ... |
-| A07 | Auth Failures | ... | ... | ... |
-| A08 | Data Integrity Failures | ... | ... | ... |
-| A09 | Logging Failures | ... | ... | ... |
-| A10 | SSRF | ... | ... | ... |
-### 2. Autenticação e Autorização
-- Método de autenticação atual
-- Vulnerabilidades identificadas
-- Recomendações:
-  - Password policy
-  - MFA
-  - Session management
-  - Token handling (JWT best practices)
-  - RBAC/ABAC
-### 3. Proteção de Dados
-- Dados em repouso (at rest)
-  - Criptografia de banco
-  - Campos sensíveis
-- Dados em trânsito (in transit)
-  - TLS/HTTPS
-  - Certificate pinning (mobile)
-- Dados em uso
-  - Mascaramento em logs
-  - Sanitização de inputs
-### 4. Validação de Input
-- Onde inputs são recebidos
-- Riscos de injection (SQL, NoSQL, Command, LDAP)
-- XSS (Stored, Reflected, DOM-based)
-- Recomendações de sanitização
-### 5. API Security
-- Rate limiting
-- API keys / OAuth
-- Validação de payloads
-- CORS configuration
-- Versionamento seguro
-### 6. Infraestrutura
-- Secrets management
-- Network segmentation
-- WAF configuration
-- Container security (se aplicável)
-- Dependency scanning
-### 7. Logging e Monitoramento de Segurança
-- O que logar para auditoria
-- Detecção de ataques
-- Alertas de segurança
-- Retenção de logs
-### 8. Checklist de Hardening
-Para cada componente, verificar:
-- [ ] Headers de segurança (CSP, HSTS, X-Frame-Options)
-- [ ] Desabilitar debug em produção
-- [ ] Remover endpoints de desenvolvimento
-- [ ] Atualizar dependências
-- [ ] Configurar firewall corretamente
-### 9. Plano de Resposta a Incidentes
-- Passos iniciais ao detectar breach
-- Quem notificar
-- Como preservar evidências
-- Comunicação com usuários (LGPD)
-### 10. Priorização de Correções
-| Vulnerabilidade | Severidade | Esforço | Prioridade |
-|-----------------|------------|---------|------------|
-| [Vuln 1] | Crítico | Baixo | ⭐⭐⭐ URGENTE |
-| [Vuln 2] | Alto | Médio | ⭐⭐⭐ |
-| [Vuln 3] | Médio | Alto | ⭐⭐ |
-```
----
-## Exemplo de Uso
-```text
-Atue como especialista em segurança de aplicações (AppSec).
-## Contexto do Projeto
-Sistema de agendamento para salões de beleza.
-Clientes agendam online, dados são armazenados.
-## Arquitetura
-- Frontend: Next.js na Vercel
-- Backend: NestJS na AWS ECS
-- Banco: PostgreSQL RDS
-- Cache: Redis ElastiCache
-## Stack Tecnológica
-- Backend: NestJS + TypeScript
-- Frontend: Next.js + React
-- Banco de dados: PostgreSQL
-- Autenticação: JWT armazenado em httpOnly cookie
-- Infraestrutura: AWS
-## Dados Sensíveis no Sistema
-- Nome e telefone de clientes (PII)
-- Email dos clientes
-- Histórico de agendamentos
-- Senhas dos administradores (hash)
-## Compliance Requerido
-- [x] LGPD
-- [ ] SOC2
-- [ ] PCI-DSS
-- [ ] HIPAA
-```
----
-## Resposta Esperada (Resumo)
-### OWASP Top 10 - Resumo
-| # | Vulnerabilidade | Risco | Severidade |
-|---|-----------------|-------|------------|
-| A01 | Broken Access Control | Alto - Verificar IDOR | Crítico |
-| A02 | Cryptographic Failures | Médio - Verificar hash de senhas | Alto |
-| A03 | Injection | Baixo - Usando ORM | Médio |
-| A07 | Auth Failures | Médio - Verificar brute force | Alto |
-### Top 3 Prioridades
-1. **IDOR em endpoints** (Crítico, Esforço Baixo)
-   - Verificar autorização por recurso
-   - Implementar middleware de ownership
-2. **Rate Limiting** (Alto, Esforço Baixo)
-   - Adicionar limite em /login
-   - Adicionar limite em /api/*
-3. **Audit Logging** (Médio, Esforço Médio)
-   - Logar ações administrativas
-   - Logar acessos a dados sensíveis
----
-## Checklist Pós-Geração
-- [ ] OWASP Top 10 analisado
-- [ ] Autenticação e autorização revisadas
-- [ ] Proteção de dados mapeada
-- [ ] Input validation verificada
-- [ ] API security checklist completo
-- [ ] Secrets management verificado
-- [ ] Logging de segurança configurado
-- [ ] Priorização de correções definida
-- [ ] LGPD compliance verificado (se aplicável)
-- [ ] Salvar em `docs/09-seguranca/analise-seguranca.md`

package/dist/content/prompts/seguranca/pentest-checklist.md DELETED Viewed

@@ -1,333 +0,0 @@
-# Prompt: Checklist de Pentest para Desenvolvedores
-> **Quando usar**: Antes de releases, após implementar autenticação/autorização
-> **Especialista**: [Segurança da Informação](../../02-especialistas/Especialista%20em%20Segurança%20da%20Informação.md)
-> **Nível**: Médio
----
-## Fluxo de Contexto
-Antes de usar este prompt, tenha em mãos:
-- `docs/CONTEXTO.md` - Entendimento do projeto
-- `docs/05-arquitetura/arquitetura.md` - Arquitetura e endpoints
-- URLs de ambiente de staging/desenvolvimento
-Após gerar, salve o resultado em:
-- `docs/09-seguranca/pentest-checklist.md`
----
-## Prompt Completo
-```text
-Atue como pentester especializado em aplicações web.
-## Contexto do Projeto
-[COLE O CONTEÚDO DE docs/CONTEXTO.md]
-## Stack Tecnológica
-- Backend: [Framework/Linguagem]
-- Frontend: [Framework]
-- Banco de dados: [Tipo]
-- Autenticação: [JWT/Sessions/OAuth]
-- APIs externas: [Lista]
-## Endpoints Críticos
-Liste os endpoints mais sensíveis:
-- [POST /api/auth/login]
-- [POST /api/payments]
-- [GET /api/users/:id]
-- [PUT /api/admin/*]
-## Ambiente de Teste
-- URL: [staging.example.com]
-- Credenciais teste: [user/pass ou como obter]
----
-## Sua Missão
-Crie um checklist de pentest executável por desenvolvedores, com comandos e ferramentas:
-### 1. Reconhecimento
-#### 1.1 Mapeamento de Endpoints
-```bash
-# Usando ferramentas de crawling
-# Listar todos os endpoints descobertos
-# Identificar endpoints não documentados
-```
-Ferramentas:
-- [ ] Verificar sitemap.xml e robots.txt
-- [ ] Inspecionar JavaScript para endpoints hardcoded
-- [ ] Usar Burp Suite / OWASP ZAP para spider
-#### 1.2 Análise de Headers
-```bash
-# Verificar headers de resposta
-curl -I https://[URL]
-```
-Checklist:
-- [ ] X-Content-Type-Options: nosniff
-- [ ] X-Frame-Options: DENY/SAMEORIGIN
-- [ ] Content-Security-Policy configurado
-- [ ] Strict-Transport-Security presente
-- [ ] X-XSS-Protection (legacy browsers)
-- [ ] Server header não expõe versões
-### 2. Autenticação
-#### 2.1 Login Brute Force
-```bash
-# Testar rate limiting
-for i in {1..20}; do
-  curl -X POST [URL]/api/auth/login \
-    -d '{"email":"test@test.com","password":"wrong'$i'"}' \
-    -w "%{http_code}\n"
-done
-```
-- [ ] Rate limiting ativo após X tentativas
-- [ ] Lockout de conta após Y tentativas
-- [ ] Mensagens de erro não revelam se email existe
-#### 2.2 Password Policy
-- [ ] Mínimo 8 caracteres
-- [ ] Exige complexidade (maiúscula, número, especial)
-- [ ] Verifica contra senhas comuns
-- [ ] Verifica contra dados do usuário
-#### 2.3 Session Management
-```bash
-# Verificar atributos de cookie
-curl -c - [URL]/api/auth/login
-```
-- [ ] Cookie com HttpOnly
-- [ ] Cookie com Secure
-- [ ] Cookie com SameSite=Strict/Lax
-- [ ] Sessão expira em tempo razoável
-- [ ] Logout invalida sessão no servidor
-### 3. Autorização (IDOR/BOLA)
-#### 3.1 Acesso Horizontal
-```bash
-# Tentar acessar recurso de outro usuário
-# Login como user1, tentar acessar dados de user2
-curl -H "Authorization: Bearer [TOKEN_USER1]" \
-  [URL]/api/users/[ID_USER2]/profile
-```
-- [ ] Não consegue ver dados de outros usuários
-- [ ] Não consegue editar recursos de outros
-- [ ] Não consegue deletar recursos de outros
-#### 3.2 Acesso Vertical
-```bash
-# Tentar acessar endpoint admin como usuário comum
-curl -H "Authorization: Bearer [TOKEN_USER]" \
-  [URL]/api/admin/users
-```
-- [ ] Endpoints admin retornam 403 para usuários comuns
-- [ ] Funcionalidades admin não aparecem no frontend
-#### 3.3 Manipulação de IDs
-- [ ] IDs não são sequenciais previsíveis (UUID)
-- [ ] Ou validação de ownership é feita
-### 4. Injection
-#### 4.1 SQL Injection
-```bash
-# Payloads básicos
-curl "[URL]/api/search?q=test' OR '1'='1"
-curl "[URL]/api/search?q=test'; DROP TABLE users;--"
-curl "[URL]/api/users/1 OR 1=1"
-```
-- [ ] Queries parametrizadas usadas
-- [ ] Sem erros SQL expostos na resposta
-- [ ] WAF bloqueia payloads suspeitos
-#### 4.2 NoSQL Injection
-```bash
-# Para MongoDB
-curl -X POST [URL]/api/login \
-  -d '{"email":{"$gt":""},"password":{"$gt":""}}'
-```
-- [ ] Input validation antes das queries
-- [ ] Sem operadores MongoDB em inputs
-#### 4.3 Command Injection
-- [ ] Sem chamadas shell com input do usuário
-- [ ] Se necessário, whitelist de comandos
-### 5. XSS (Cross-Site Scripting)
-#### 5.1 Reflected XSS
-```bash
-# Testar em parâmetros de URL
-curl "[URL]/search?q=<script>alert('xss')</script>"
-```
-#### 5.2 Stored XSS
-```bash
-# Tentar salvar payload em campos
-curl -X POST [URL]/api/posts \
-  -d '{"title":"<img src=x onerror=alert(1)>"}'
-```
-Checklist:
-- [ ] Output encoding aplicado
-- [ ] CSP configurado corretamente
-- [ ] Sanitização de HTML (se permitir rich text)
-### 6. CSRF (Cross-Site Request Forgery)
-```html
-<!-- Tentar executar ação via página externa -->
-<form action="[URL]/api/settings" method="POST">
-  <input name="email" value="attacker@evil.com">
-</form>
-<script>document.forms[0].submit();</script>
-```
-- [ ] Token CSRF em formulários
-- [ ] Verificação de Origin/Referer
-- [ ] SameSite cookie attribute
-### 7. Upload de Arquivos
-```bash
-# Testar bypass de validação
-curl -X POST [URL]/api/upload \
-  -F "file=@malicious.php;type=image/png"
-```
-- [ ] Validação de tipo por magic bytes (não apenas extensão)
-- [ ] Renomeação de arquivos uploadados
-- [ ] Armazenamento fora do webroot
-- [ ] Limite de tamanho de arquivo
-- [ ] Scan de malware (se aplicável)
-### 8. API Security
-#### 8.1 Rate Limiting
-```bash
-# Testar limites
-for i in {1..100}; do
-  curl [URL]/api/expensive-operation &
-done
-wait
-```
-- [ ] Rate limit por IP
-- [ ] Rate limit por usuário
-- [ ] Resposta 429 Too Many Requests
-#### 8.2 Mass Assignment
-```bash
-# Tentar adicionar campos não permitidos
-curl -X PUT [URL]/api/users/me \
-  -d '{"name":"test","role":"admin","verified":true}'
-```
-- [ ] Whitelist de campos atualizáveis
-- [ ] Campos sensíveis ignorados
-### 9. Informação Sensível
-#### 9.1 Exposição em Respostas
-```bash
-# Verificar o que retorna nas APIs
-curl [URL]/api/users | jq
-```
-- [ ] Senhas nunca retornadas (nem hash)
-- [ ] Tokens internos não expostos
-- [ ] IDs internos não vazam
-#### 9.2 Erros e Debug
-```bash
-# Provocar erros
-curl [URL]/api/undefined-route
-curl "[URL]/api/users/abc" # ID inválido
-```
-- [ ] Stack traces não expostos
-- [ ] Versões de framework ocultas
-- [ ] Mensagens de erro genéricas
-### 10. Ferramentas Recomendadas
-| Ferramenta | Uso | Link |
-|------------|-----|------|
-| Burp Suite | Proxy, scanner | community edition gratuita |
-| OWASP ZAP | Proxy, scanner | open source |
-| sqlmap | SQL injection | open source |
-| Nikto | Web scanner | open source |
-| nuclei | Vulnerability scanner | open source |
-### 11. Relatório de Findings
-| ID | Vulnerabilidade | Severidade | Endpoint | PoC | Status |
-|----|-----------------|------------|----------|-----|--------|
-| V1 | [descrição] | [Crítico/Alto/Médio/Baixo] | [endpoint] | [como reproduzir] | [Aberto/Corrigido] |
-```
----
-## Exemplo de Uso
-```text
-Atue como pentester especializado em aplicações web.
-## Contexto do Projeto
-Sistema de RH para gestão de funcionários. Permite cadastro, folha de pagamento, férias.
-## Stack
-- Backend: Node.js + Express
-- Frontend: React
-- Banco: PostgreSQL
-- Auth: JWT em localStorage
-## Endpoints Críticos
-- POST /api/auth/login
-- GET /api/employees/:id/salary
-- POST /api/payroll/generate
-- GET /api/admin/reports
-## Ambiente
-- URL: staging-rh.company.internal
-- Test user: test@company.com / Test123!
-```
----
-## Checklist Pós-Geração
-- [ ] Headers de segurança verificados
-- [ ] Autenticação testada (brute force, session)
-- [ ] Autorização testada (IDOR, escalação)
-- [ ] Injection testada (SQL, NoSQL, Command)
-- [ ] XSS testada (reflected, stored)
-- [ ] CSRF verificado
-- [ ] Upload de arquivos testado (se aplicável)
-- [ ] Rate limiting verificado
-- [ ] Informações sensíveis verificadas
-- [ ] Relatório de findings documentado
-- [ ] Salvar em `docs/09-seguranca/pentest-checklist.md`