icarus-cmd 0.3.1 → 1.0.1

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "icarus-cmd",
-  "version": "0.3.1",
+  "version": "1.0.1",
   "description": "Icarus — plateforme de pentest tout-en-un : nmap, nuclei, sqlmap, ZAP, ffuf, katana & co regroupés. CLI + TUI + interface web locale, analyse de code (SAST), base de résultats commune et rapports.",
   "type": "module",
   "bin": {
@@ -24,8 +24,17 @@
     "node": ">=20"
   },
   "keywords": [
-    "pentest", "security", "sast", "nuclei", "nmap", "sqlmap",
-    "ffuf", "recon", "vulnerability-scanner", "cli", "infosec"
+    "pentest",
+    "security",
+    "sast",
+    "nuclei",
+    "nmap",
+    "sqlmap",
+    "ffuf",
+    "recon",
+    "vulnerability-scanner",
+    "cli",
+    "infosec"
   ],
   "author": "Icarus",
   "license": "MIT",

package/scripts/postinstall.mjs

@@ -1,5 +1,3 @@
-// Message d'après-installation. AUCUN téléchargement ici (mauvaise pratique +
-// certains outils demandent l'admin) : on guide juste l'utilisateur.
 const c = (s, n) => `\x1b[${n}m${s}\x1b[0m`;
 console.log('');
 console.log('  ' + c('Icarus installé.', '1') + ' Étape suivante :');

package/src/core/codescan.js

@@ -1,7 +1,3 @@
-// Analyse statique (SAST) légère : parcourt un fichier ou un dossier et applique
-// des règles regex par langage pour repérer des motifs de vulnérabilités
-// classiques (injection, secrets en dur, crypto faible, désérialisation…).
-// Zéro dépendance : chaque règle = { id, severity, exts, re, title }.
 import { readFileSync, readdirSync, statSync, existsSync } from 'node:fs';
 import { join, extname, basename, relative } from 'node:path';
 
@@ -14,20 +10,18 @@ const TEXT_EXTS = new Set([
   '.go', '.cs', '.c', '.cpp', '.h', '.sh', '.bash', '.ps1', '.sql', '.html',
   '.env', '.yml', '.yaml', '.json', '.xml', '.ini', '.conf', '.cfg', '.txt',
 ]);
-const MAX_FILE = 1.5 * 1024 * 1024; // 1.5 Mo
+const MAX_FILE = 1.5 * 1024 * 1024;
 
-const ANY = null; // règle valable pour toutes extensions
+const ANY = null;
 
-// exts = liste d'extensions ('.js') ou ANY ; re testée ligne par ligne.
 const RULES = [
-  // ---- Secrets / credentials (tous fichiers) ----
+
   { id: 'secret-aws-key', severity: 'critical', exts: ANY, title: 'Cle AWS Access Key en dur', re: /\bAKIA[0-9A-Z]{16}\b/ },
   { id: 'secret-private-key', severity: 'critical', exts: ANY, title: 'Cle privee en dur', re: /-----BEGIN (?:RSA |EC |OPENSSH |DSA |PGP )?PRIVATE KEY-----/ },
   { id: 'secret-generic', severity: 'high', exts: ANY, title: 'Secret/mot de passe en dur', re: /\b(?:api[_-]?key|secret|passwd|password|token|access[_-]?key|client[_-]?secret)\b\s*[:=]\s*['"][^'"\s]{8,}['"]/i },
   { id: 'secret-bearer', severity: 'high', exts: ANY, title: 'Token Bearer en dur', re: /bearer\s+[a-z0-9._\-]{20,}/i },
   { id: 'secret-slack', severity: 'high', exts: ANY, title: 'Token Slack en dur', re: /xox[baprs]-[0-9A-Za-z-]{10,}/ },
 
-  // ---- Injection de commande / code ----
   { id: 'js-eval', severity: 'high', exts: ['.js', '.mjs', '.cjs', '.ts', '.tsx', '.jsx'], title: 'eval() — execution de code', re: /\beval\s*\(/ },
   { id: 'js-new-function', severity: 'high', exts: ['.js', '.mjs', '.cjs', '.ts', '.tsx', '.jsx'], title: 'new Function() — execution dynamique', re: /\bnew\s+Function\s*\(/ },
   { id: 'js-child-exec', severity: 'high', exts: ['.js', '.mjs', '.cjs', '.ts'], title: 'child_process.exec avec variable — injection cmd', re: /\bexec(?:Sync)?\s*\(\s*[`'"][^`'"]*\$\{|\bexec(?:Sync)?\s*\([^)]*\+/ },
@@ -36,29 +30,24 @@ const RULES = [
   { id: 'py-subprocess-shell', severity: 'high', exts: ['.py'], title: 'subprocess shell=True — injection commande', re: /subprocess\.[a-z]+\([^)]*shell\s*=\s*True/ },
   { id: 'php-cmd', severity: 'high', exts: ['.php'], title: 'system/exec/shell_exec/passthru — injection commande', re: /\b(?:system|exec|shell_exec|passthru|popen|proc_open)\s*\(/ },
 
-  // ---- Injection SQL ----
   { id: 'sql-concat', severity: 'high', exts: ['.js', '.mjs', '.cjs', '.ts', '.py', '.php', '.java', '.rb', '.cs'], title: 'Requete SQL concatenee — risque SQLi', re: /(?:select|insert|update|delete)\b[^;'"]*['"`]\s*(?:\+|\.|%|\$\{|f")/i },
   { id: 'php-sql-super', severity: 'high', exts: ['.php'], title: 'Variable $_GET/$_POST dans requete SQL', re: /(?:query|mysqli?_query|->query)\s*\([^)]*\$_(?:GET|POST|REQUEST|COOKIE)/i },
 
-  // ---- XSS ----
   { id: 'js-innerhtml', severity: 'medium', exts: ['.js', '.ts', '.tsx', '.jsx', '.html'], title: 'innerHTML/outerHTML — risque XSS', re: /\.(?:inner|outer)HTML\s*=/ },
   { id: 'react-dangerously', severity: 'medium', exts: ['.jsx', '.tsx', '.js', '.ts'], title: 'dangerouslySetInnerHTML — risque XSS', re: /dangerouslySetInnerHTML/ },
   { id: 'js-doc-write', severity: 'medium', exts: ['.js', '.ts', '.html'], title: 'document.write — risque XSS', re: /document\.write\s*\(/ },
   { id: 'php-echo-super', severity: 'medium', exts: ['.php'], title: 'echo direct de $_GET/$_POST — XSS', re: /echo\s+[^;]*\$_(?:GET|POST|REQUEST)/i },
 
-  // ---- Deserialisation / parsing dangereux ----
   { id: 'py-pickle', severity: 'high', exts: ['.py'], title: 'pickle.loads — deserialisation non sure', re: /pickle\.loads?\s*\(/ },
   { id: 'py-yaml-load', severity: 'high', exts: ['.py'], title: 'yaml.load sans SafeLoader', re: /yaml\.load\s*\((?![^)]*Safe)/ },
   { id: 'php-unserialize', severity: 'high', exts: ['.php'], title: 'unserialize() — deserialisation non sure', re: /\bunserialize\s*\(/ },
 
-  // ---- TLS / crypto ----
   { id: 'tls-node-reject', severity: 'high', exts: ['.js', '.mjs', '.cjs', '.ts'], title: 'rejectUnauthorized:false — TLS non verifie', re: /rejectUnauthorized\s*:\s*false/ },
   { id: 'tls-py-verify', severity: 'high', exts: ['.py'], title: 'verify=False — TLS non verifie', re: /verify\s*=\s*False/ },
   { id: 'tls-curl-insecure', severity: 'medium', exts: ANY, title: 'curl -k / --insecure — TLS non verifie', re: /curl\s+[^\n]*(?:\s-k\b|--insecure)/ },
   { id: 'crypto-weak', severity: 'medium', exts: ANY, title: 'Hash faible (MD5/SHA1)', re: /\b(?:md5|sha1)\s*\(/i },
   { id: 'js-math-random', severity: 'low', exts: ['.js', '.ts'], title: 'Math.random() — non cryptographique', re: /Math\.random\s*\(\)/ },
 
-  // ---- Divers ----
   { id: 'flask-debug', severity: 'medium', exts: ['.py'], title: 'Flask debug=True — execution de code', re: /\.run\s*\([^)]*debug\s*=\s*True/ },
   { id: 'cors-wildcard', severity: 'low', exts: ANY, title: 'CORS Access-Control-Allow-Origin: *', re: /Access-Control-Allow-Origin['"\s:]+\*/ },
 ];
@@ -109,7 +98,6 @@ function scanFile(file, root) {
   return findings;
 }
 
-// Analyse un fichier ou un dossier. Renvoie { findings, files, root }.
 export function analyzeCode(target) {
   if (!existsSync(target)) return { error: `Chemin introuvable : ${target}`, findings: [], files: 0 };
   const st = statSync(target);

package/src/core/detect.js

@@ -1,7 +1,3 @@
-// Détection d'un outil : on le cherche dans le PATH (via `where`/`which`),
-// puis dans une liste de chemins d'installation connus (utile sous Windows où
-// nmap/ZAP n'ajoutent pas toujours leur dossier au PATH).
-
 import { existsSync } from 'node:fs';
 import { execFileSync } from 'node:child_process';
 import { join, dirname } from 'node:path';
@@ -9,7 +5,6 @@ import { fileURLToPath } from 'node:url';
 
 const cache = new Map();
 
-// Dossier où Icarus installe les binaires précompilés (install-tools.ps1).
 const BUNDLED_DIR = join(dirname(fileURLToPath(import.meta.url)), '..', '..', 'tools', 'bin');
 
 function whichBin(name) {
@@ -25,29 +20,25 @@ function whichBin(name) {
   }
 }
 
-// Renvoie le chemin résolu du binaire d'un outil, ou null si introuvable.
 export function resolveBin(tool, { fresh = false } = {}) {
   if (!fresh && cache.has(tool.id)) return cache.get(tool.id);
 
   const candidates = [];
-  // 1) binaires installés localement par Icarus (tools/bin)
+
   for (const b of tool.bins || []) {
     const local = join(BUNDLED_DIR, b.endsWith('.exe') ? b : `${b}.exe`);
     if (existsSync(local)) candidates.push(local);
   }
-  // 2) chemins d'installation Windows connus
+
   for (const p of tool.winPaths || []) {
     if (existsSync(p)) candidates.push(p);
   }
-  // 3) PATH
+
   for (const b of tool.bins || []) {
     const r = whichBin(b);
     if (r) candidates.push(r);
   }
 
-  // Certains outils partagent un nom de binaire avec un autre logiciel
-  // (ex: le scanner httpx de ProjectDiscovery vs la lib Python httpx).
-  // tool.verify(bin) permet d'écarter le mauvais.
   let found = null;
   for (const c of candidates) {
     if (typeof tool.verify === 'function' && !tool.verify(c)) continue;

package/src/core/registry.js

@@ -1,7 +1,3 @@
-// Registre central des outils. Pour ajouter un outil : créer src/tools/xxx.js,
-// l'importer ici et l'ajouter à TOOLS. Tout le reste (TUI, scans, rapports,
-// profils) le prend en compte automatiquement.
-
 import { resolveBin } from './detect.js';
 
 import nmap from '../tools/nmap.js';
@@ -22,13 +18,11 @@ import zap from '../tools/zap.js';
 import metasploit from '../tools/metasploit.js';
 
 export const TOOLS = [
-  nmap, naabu, subfinder, httpx, katana, whatweb, wafw00f,  // recon
-  nuclei, metasploit,                                       // vuln
-  ffuf, gobuster, nikto, sqlmap, dalfox, wpscan, zap,       // web
+  nmap, naabu, subfinder, httpx, katana, whatweb, wafw00f,
+  nuclei, metasploit,
+  ffuf, gobuster, nikto, sqlmap, dalfox, wpscan, zap,
 ];
 
-// Profils = enchaînements d'outils par objectif. Le profil ne lance que les
-// outils réellement installés (les autres sont ignorés silencieusement).
 export const PROFILES = {
   recon: { label: 'Reconnaissance', tools: ['nmap', 'naabu', 'subfinder', 'httpx', 'katana', 'whatweb', 'wafw00f'] },
   web: { label: 'Application web', tools: ['httpx', 'whatweb', 'katana', 'ffuf', 'gobuster', 'nikto', 'sqlmap', 'dalfox', 'wpscan', 'zap'] },

package/src/core/resolvers.js

@@ -1,14 +1,3 @@
-// Résolveurs DNS imposés aux outils ProjectDiscovery (nuclei, httpx, katana,
-// subfinder). Leur résolveur Go interne échoue souvent ("no address found for
-// host"), surtout sous VPN (Mullvad force son propre DNS et bloque les autres) :
-// du coup l'appli trouve 0 vuln alors que tout marche par ailleurs.
-//
-// On génère donc un fichier -resolvers à partir du DNS SYSTÈME ACTIF
-// (dns.getServers() — le primaire en tête, c'est celui que l'OS utilise et qui
-// marche). Deux pièges Windows gérés ici :
-//   1) nuclie ne lit le fichier qu'en fins de ligne CRLF ;
-//   2) son chemin ne doit pas contenir d'espaces (le projet vit dans
-//      "…/pentest tool/…") -> on écrit dans tmp/home.
 import { dirname, join } from 'node:path';
 import { fileURLToPath } from 'node:url';
 import { existsSync, readFileSync, writeFileSync } from 'node:fs';
@@ -33,9 +22,9 @@ function buildList() {
     }
   } catch { /* ignore */ }
   // Le primaire SEUL : c'est le DNS que l'OS utilise (donc joignable même sous
-  // VPN), et ça évite que nuclei pioche un DNS secondaire bloqué par le VPN.
+
   if (out.length) return out.slice(0, 1);
-  // Secours : liste statique fournie avec le projet.
+
   try { return readFileSync(BUNDLED, 'utf8').split(/\r?\n/).map((l) => l.trim()).filter(Boolean); }
   catch { return []; }
 }
@@ -45,7 +34,7 @@ try {
   const dst = pickPath();
   const list = buildList();
   if (dst && list.length) {
-    writeFileSync(dst, list.join('\r\n') + '\r\n'); // CRLF obligatoire pour nuclei
+    writeFileSync(dst, list.join('\r\n') + '\r\n');
     resolved = dst;
   }
 } catch { resolved = ''; }

package/src/core/runner.js

@@ -1,6 +1,3 @@
-// Lance un outil, streame sa sortie en direct dans le terminal, capture tout,
-// puis délègue au parser de l'outil pour produire des findings normalisés.
-
 import { spawn } from 'node:child_process';
 import { mkdtempSync } from 'node:fs';
 import { tmpdir } from 'node:os';
@@ -8,8 +5,6 @@ import { join } from 'node:path';
 import { resolveBin } from './detect.js';
 import { recordScan, addFindings } from './store.js';
 
-// Exécute un binaire et renvoie { code, stdout, stderr, timedOut }.
-// timeoutMs > 0 : tue le process s'il dépasse le délai.
 export function runProcess(cmd, args, { onData, cwd, env, timeoutMs = 0, shell = false } = {}) {
   return new Promise((resolve) => {
     let stdout = '';
@@ -37,8 +32,6 @@ export function runProcess(cmd, args, { onData, cwd, env, timeoutMs = 0, shell =
   });
 }
 
-// Orchestration d'un outil de bout en bout : détection -> commande -> run ->
-// parse -> stockage. Renvoie { ok, findings, code, error }.
 export async function runTool(tool, target, { opts = {}, onData, onLog } = {}) {
   const log = onLog || (() => {});
   const bin = resolveBin(tool);
@@ -54,11 +47,6 @@ export async function runTool(tool, target, { opts = {}, onData, onLog } = {}) {
   let args = built.args || [];
   let shell = false;
 
-  // Sous Windows, Node ≥20 refuse de spawn directement un .bat/.cmd
-  // (EINVAL, correctif CVE-2024-27980). On reconstruit une ligne de commande
-  // correctement quotée et on laisse cmd.exe l'exécuter via shell:true.
-  // Les outils qui définissent déjà built.cmd (ex. metasploit via `cmd /c`)
-  // gèrent leur propre invocation et ne sont pas touchés.
   if (process.platform === 'win32' && !built.cmd && /\.(bat|cmd)$/i.test(cmd)) {
     const q = (s) => (/[\s"&()[\]{}^=;!'+,`~%<>|]/.test(String(s))
       ? `"${String(s).replace(/"/g, '""')}"`

package/src/core/setup.js

@@ -1,8 +1,3 @@
-// `icarus setup` — télécharge les binaires précompilés (releases GitHub) des
-// outils Go et les place dans tools/bin. Cross-platform (Windows/Linux/macOS) :
-// détecte OS+arch, choisit le bon asset, extrait via `tar` (présent par défaut
-// sur Win10+, Linux, macOS). Les outils à runtime (nmap, ZAP, Metasploit,
-// nikto, wpscan…) ne sont pas gérés ici : `icarus doctor` indique comment.
 import { mkdtempSync, mkdirSync, existsSync, copyFileSync, readdirSync, createWriteStream, rmSync } from 'node:fs';
 import { tmpdir } from 'node:os';
 import { join, dirname } from 'node:path';
@@ -45,7 +40,6 @@ async function download(url, dest) {
   await pipeline(Readable.fromWeb(res.body), createWriteStream(dest));
 }
 
-// Installe un outil. Renvoie true/false. log(msg) pour le suivi.
 async function installTool(t, keys, tmp, log) {
   const rel = await ghJson(`https://api.github.com/repos/${t.repo}/releases/latest`);
   const asset = (rel.assets || []).find((x) =>
@@ -92,7 +86,7 @@ export async function setupTools({ log = console.log } = {}) {
       fail.push(t.id);
     }
   }
-  try { rmSync(tmp, { recursive: true, force: true }); } catch { /* ignore */ }
+  try { rmSync(tmp, { recursive: true, force: true }); } catch {  }
 
   log(`\n  Installés (${ok.length}) : ${ok.join(', ') || '-'}`);
   if (fail.length) log(`  Échecs    (${fail.length}) : ${fail.join(', ')}`);

package/src/core/severity.js

@@ -1,15 +1,10 @@
-// Modèle de sévérité partagé par tous les outils, pour normaliser des sorties
-// très hétérogènes (nuclei dit "high", ZAP dit "3", etc.) en une seule échelle.
-
 export const SEVERITIES = ['critical', 'high', 'medium', 'low', 'info', 'unknown'];
 
-// Plus le rang est petit, plus c'est grave (utile pour trier).
 export function rank(sev) {
   const i = SEVERITIES.indexOf(String(sev || 'unknown').toLowerCase());
   return i < 0 ? SEVERITIES.length : i;
 }
 
-// Normalise n'importe quelle étiquette de sévérité vers notre échelle.
 export function normalize(sev) {
   const s = String(sev || '').toLowerCase().trim();
   if (['critical', 'crit', '4'].includes(s)) return 'critical';

package/src/core/store.js

@@ -1,7 +1,3 @@
-// Stockage des résultats : un simple fichier JSON (pas de dépendance native à
-// compiler sous Windows). Tous les outils écrivent leurs "findings" normalisés
-// au même endroit -> c'est ça, "tout regrouper".
-
 import { mkdirSync, readFileSync, writeFileSync, existsSync } from 'node:fs';
 import { dirname, join } from 'node:path';
 import { fileURLToPath } from 'node:url';
@@ -29,7 +25,6 @@ function save(db) {
   writeFileSync(DB_FILE, JSON.stringify(db, null, 2), 'utf8');
 }
 
-// Enregistre une exécution d'outil et renvoie son id.
 export function recordScan({ tool, target, code, command }) {
   const db = load();
   const scan = {
@@ -45,7 +40,6 @@ export function recordScan({ tool, target, code, command }) {
   return scan.id;
 }
 
-// Ajoute des findings normalisés (le runner les enrichit avec scanId/tool/target).
 export function addFindings(findings) {
   if (!findings?.length) return [];
   const db = load();

package/src/core/target.js

@@ -1,5 +1,3 @@
-// Helpers de cible partagés (TUI + Web).
-
 export const toHost = (t) => String(t).replace(/^https?:\/\//, '').replace(/\/.*$/, '');
 export const toUrl = (t) => (/^https?:\/\//.test(t) ? t : `http://${t}`);
 export const effectiveTarget = (tool, target) => (tool.needs === 'url' ? toUrl(target) : toHost(target));

package/src/index.js

@@ -1,11 +1,4 @@
 #!/usr/bin/env node
-// Icarus — point d'entrée.
-//   (sans argument)        -> TUI interactive
-//   doctor                 -> état des outils (installé / manquant)
-//   scan <cible> [options] -> scan non interactif (scriptable)
-//   report                 -> rapport HTML + JSON depuis les résultats
-//   help                   -> aide
-
 import chalk from 'chalk';
 import Table from 'cli-table3';
 import { select, input, checkbox, confirm } from '@inquirer/prompts';
@@ -31,11 +24,9 @@ const effectiveTarget = (tool, target) => (tool.needs === 'url' ? toUrl(target)
 function openBrowser(url) {
   const cmd = process.platform === 'win32' ? 'cmd' : process.platform === 'darwin' ? 'open' : 'xdg-open';
   const args = process.platform === 'win32' ? ['/c', 'start', '', url] : [url];
-  try { spawn(cmd, args, { detached: true, stdio: 'ignore' }).unref(); } catch { /* ignore */ }
+  try { spawn(cmd, args, { detached: true, stdio: 'ignore' }).unref(); } catch {  }
 }
 
-// ---------- Affichages partagés ----------
-
 function statusTable({ fresh = false } = {}) {
   const table = new Table({
     head: ['Outil', 'Catégorie', 'État', 'Chemin / installation'].map((h) => chalk.bold(h)),
@@ -64,7 +55,6 @@ function summarize(findings) {
     .join('  ');
 }
 
-// Résout une liste d'ids d'outils en gardant ceux installés, et signale les autres.
 function resolveTools(ids) {
   const avail = new Set(availableIds());
   const run = ids.filter((id) => getTool(id) && avail.has(id));
@@ -72,8 +62,6 @@ function resolveTools(ids) {
   return { run, skipped };
 }
 
-// ---------- Exécution d'un scan ----------
-
 const FAST_OPTS = { fast: true, topPorts: '100', depth: 1, severity: 'critical,high', level: 1, risk: 1 };
 
 async function runScan(target, toolIds, { opts = {}, quiet = false, parallel = false } = {}) {
@@ -116,8 +104,6 @@ async function runScan(target, toolIds, { opts = {}, quiet = false, parallel = f
   return all;
 }
 
-// ---------- TUI interactive ----------
-
 async function chooseTools(target) {
   const mode = await select({
     message: 'Comment choisir les outils ?',
@@ -242,8 +228,6 @@ async function tui() {
   }
 }
 
-// ---------- CLI non interactive ----------
-
 function parseFlags(args) {
   const flags = {};
   const positional = [];
@@ -307,11 +291,17 @@ async function main() {
     const { flags } = parseFlags(rest);
     const port = Number(flags.port) || 7373;
     console.log(banner());
-    const { url } = await startWeb({ port });
-    console.log(chalk.green('✓ Interface web Icarus lancée :') + '  ' + chalk.hex('#fb923c').bold(url));
-    console.log(chalk.gray('  (Ctrl+C pour arrêter)'));
-    if (!flags['no-open']) openBrowser(url);
-    return; // le serveur garde le process en vie
+    try {
+      const { url } = await startWeb({ port });
+      console.log(chalk.green('✓ Interface web Icarus lancée :') + '  ' + chalk.hex('#fb923c').bold(url));
+      console.log(chalk.gray('  (Ctrl+C pour arrêter)'));
+      if (!flags['no-open']) openBrowser(url);
+    } catch (err) {
+      console.log(chalk.red(`✗ Serveur non démarré : ${err.message}`));
+      console.log(chalk.gray('  Essaie un autre port : icarus web --port 8080'));
+      process.exit(1);
+    }
+    return;
   }
 
   if (cmd === 'report') {
@@ -338,9 +328,8 @@ async function main() {
     return doScanCli(positional[0], flags);
   }
 
-  // Cible "nue" : `icarus example.com`, ou `icarus ./fichier.js` -> analyse code
   if (!cmd.startsWith('-')) {
-    if (existsSync(cmd)) return doCodeScan(cmd); // chemin local => SAST
+    if (existsSync(cmd)) return doCodeScan(cmd);
     const { flags } = parseFlags(rest);
     return doScanCli(cmd, flags);
   }
@@ -354,12 +343,11 @@ const SEV_COLOR = { critical: '#dc2626', high: '#f97316', medium: '#eab308', low
 const SEV_ICON = { critical: ICON.critical, high: ICON.high, medium: ICON.medium, low: ICON.low, info: ICON.info, unknown: ICON.info };
 const sevTag = (s) => chalk.hex(SEV_COLOR[s] || '#9ca3af').bold(`${SEV_ICON[s] || '•'} ${String(s || '?').toUpperCase()}`);
 
-// Analyse statique du code (SAST) d'un fichier ou dossier local.
 async function doCodeScan(target) {
   console.log('\n' + rule(`ANALYSE CODE — ${target}`));
   const spin = startSpinner(chalk.gray('analyse du code…'));
   const res = analyzeCode(target);
-  await sleep(180); // laisse voir le spinner même sur petit scan
+  await sleep(180);
   spin.stop();
   if (res.error) { console.log(chalk.red(`  ${ICON.warn} ` + res.error)); process.exit(1); }
 
@@ -375,7 +363,7 @@ async function doCodeScan(target) {
   for (const f of stored) {
     console.log('  ' + sevTag(f.severity) + '  ' + chalk.bold(f.title));
     console.log('      ' + chalk.gray(f.detail));
-    if (stagger) await sleep(35); // révélation animée
+    if (stagger) await sleep(35);
   }
   const counts = {};
   for (const f of stored) counts[f.severity] = (counts[f.severity] || 0) + 1;

package/src/report/html.js

@@ -1,6 +1,3 @@
-// Génère un rapport HTML autonome (un seul fichier, interactif) + un export JSON,
-// à partir des findings et scans stockés.
-
 import { writeFileSync, mkdirSync, existsSync } from 'node:fs';
 import { join } from 'node:path';
 import { DATA_DIR } from '../core/store.js';

package/src/tools/dalfox.js

@@ -26,9 +26,9 @@ export default {
 
     let items = [];
     try {
-      items = JSON.parse(raw); // tableau de PoCs
+      items = JSON.parse(raw);
     } catch {
-      // certains builds écrivent du JSONL
+
       items = raw.split(/\r?\n/).map((l) => { try { return JSON.parse(l); } catch { return null; } }).filter(Boolean);
     }
     return [].concat(items).map((p) => ({

package/src/tools/gobuster.js

@@ -1,5 +1,3 @@
-// gobuster : brute-force de dossiers/fichiers web. Parsing de la sortie texte.
-
 import { existsSync } from 'node:fs';
 import { join, dirname } from 'node:path';
 import { fileURLToPath } from 'node:url';
@@ -27,7 +25,7 @@ export default {
 
   parse({ stdout }) {
     const findings = [];
-    // Lignes type:  /admin                (Status: 301) [Size: 0]
+
     const re = /^(\/\S*)\s+\(Status:\s*(\d+)\)(?:\s*\[Size:\s*(\d+)\])?/gim;
     let m;
     while ((m = re.exec(stdout)) !== null) {

package/src/tools/httpx.js

@@ -1,4 +1,3 @@
-// Collision de nom avec la lib Python `httpx` : verify() valide le bon binaire.
 import { execFileSync } from 'node:child_process';
 import { RESOLVERS_FILE } from '../core/resolvers.js';
 

package/src/tools/metasploit.js

@@ -1,4 +1,3 @@
-// Sur Windows msfconsole est un .bat -> lancement via `cmd /c`.
 export default {
   id: 'metasploit',
   name: 'Metasploit',

package/src/tools/naabu.js

@@ -10,9 +10,6 @@ export default {
   winPaths: [],
   install: 'go install github.com/projectdiscovery/naabu/v2/cmd/naabu@latest',
 
-  // Sous Windows, naabu dépend de Npcap (wpcap.dll). Sans elle, le binaire
-  // plante au lancement (spawn UNKNOWN). On le considère alors indisponible
-  // pour qu'Icarus l'ignore proprement (nmap couvre déjà le scan de ports).
   verify() {
     if (process.platform !== 'win32') return true;
     return [

package/src/tools/nuclei.js

@@ -23,7 +23,7 @@ export default {
 
   command(target, opts = {}) {
     const args = ['-u', target, '-jsonl', '-silent', '-no-color'];
-    // Sous VPN, le résolveur interne de nuclei échoue -> on force des DNS valides.
+
     if (RESOLVERS_FILE) args.push('-resolvers', RESOLVERS_FILE);
     if (opts.severity) args.push('-severity', opts.severity);
     if (opts.tags) args.push('-tags', opts.tags);

package/src/tools/sqlmap.js

@@ -3,7 +3,7 @@ export default {
   name: 'sqlmap',
   category: 'web',
   description: "Détection d'injections SQL",
-  needs: 'url', // idéalement une URL avec paramètre, ex: http://site/p?id=1
+  needs: 'url',
   bins: ['sqlmap', 'sqlmap.exe'],
   winPaths: [],
   install: 'pip install sqlmap   (ou https://sqlmap.org)',
@@ -53,7 +53,6 @@ export default {
       findings.push({ type: 'sqli', severity: 'info', title: 'Aucune injection SQL trouvée', detail: target, ref: 'sqlmap' });
     }
 
-    // Bases de données dumpées avec --dbs
     const dbBlock = stdout.match(/available databases \[\d+\]:([\s\S]*?)(?:\n\n|\n\[)/i);
     if (dbBlock) {
       const dbs = dbBlock[1].split(/\r?\n/).map((l) => l.replace(/^\s*\[\*\]\s*/, '').trim()).filter(Boolean);

package/src/tools/zap.js

@@ -4,8 +4,6 @@ import { normalize } from '../core/severity.js';
 
 const RISK = { 3: 'high', 2: 'medium', 1: 'low', 0: 'info' };
 
-// java.exe en chemin absolu : spawn(shell:false) avec un cwd custom ne résout
-// pas un nom court ("java") -> ENOENT. On le localise via JAVA_HOME puis PATH.
 function findJava() {
   const exe = process.platform === 'win32' ? 'java.exe' : 'java';
   const cands = [];
@@ -34,10 +32,7 @@ export default {
 
   command(target, opts = {}) {
     const report = join(opts.workdir, 'zap.json');
-    // zap.bat lance `java -jar zap-x.y.z.jar` en chemin RELATIF : lancé depuis
-    // un dossier temp, il ne trouve pas son .jar (échec instantané). On appelle
-    // donc java directement avec le .jar en chemin absolu, en exécutant depuis
-    // le dossier d'installation de ZAP (pour ses ressources).
+
     const dir = opts.bin ? dirname(opts.bin) : '';
     let jar = '';
     try { jar = readdirSync(dir).find((f) => /^zap.*\.jar$/i.test(f)) || ''; } catch { /* ignore */ }

package/src/ui/anim.js

@@ -1,18 +1,14 @@
-// Petites animations terminal : spinner live + helpers. Tout se désactive
-// proprement hors TTY (sortie pipée / CI) pour ne pas polluer les logs.
 import chalk from 'chalk';
 
 const ESC = '\x1b';
 const FRAMES = ['⠋', '⠙', '⠹', '⠸', '⠼', '⠴', '⠦', '⠧', '⠇', '⠏'];
 
-// Jeu d'icônes — style "épuré" : chevron doré en préfixe de menu, points
-// colorés pour les sévérités. Cohérent, rend partout (pas d'emoji).
 export const GOLD = '#d4a843';
 export const chevron = chalk.hex(GOLD)('❯');
 export const ICON = {
   chevron: '❯', dot: '●',
   ok: '✓', miss: '✗', warn: '!', star: '✦', report: '❯',
-  // toutes les sévérités = même point, la couleur porte le sens
+
   critical: '●', high: '●', medium: '●', low: '●', info: '●',
 };
 export const sleep = (ms) => new Promise((r) => setTimeout(r, ms));
@@ -22,7 +18,6 @@ const HIDE = `${ESC}[?25l`;
 const SHOW = `${ESC}[?25h`;
 const CLEARLINE = `\r${ESC}[2K`;
 
-// Spinner avec lignes de résultat qui défilent au-dessus (spin.log).
 export function startSpinner(text) {
   if (!isTTY()) {
     return { update() {}, log: (l) => console.log(l), stop: (l) => l && console.log(l) };
@@ -55,5 +50,4 @@ export async function revealLines(lines, { delay = 26, indent = '' } = {}) {
   }
 }
 
-// Efface la ligne courante (utilisé pour nettoyer après un spinner inline).
 export const clearLine = () => { if (isTTY()) process.stdout.write(CLEARLINE); };

package/src/ui/banner.js

@@ -5,8 +5,8 @@ import { isTTY, sleep, revealLines } from './anim.js';
 const GOLD = '#d4a843';
 const GOLD_HI = '#fff3cf';
 const INDENT = '  ';
-const CLR = '\r\x1b[2K'; // retour début de ligne + efface la ligne
-// Aligne le texte sous le centre du logo.
+const CLR = '\r\x1b[2K';
+
 const PAD = ' '.repeat(Math.max(0, Math.round((LOGO.length ? 44 : 20) / 2) - 6));
 
 function wordmark(highlight = -1) {
@@ -27,14 +27,12 @@ export function banner() {
   );
 }
 
-// Bannière animée : déploiement du logo + balayage lumineux sur ICARUS.
 export async function intro() {
   if (!isTTY()) { console.log(banner()); return; }
   process.stdout.write('\n');
   await revealLines(LOGO, { delay: 22, indent: INDENT });
   process.stdout.write('\n');
 
-  // balayage lumineux lettre par lettre
   for (let h = 0; h <= 6; h++) {
     process.stdout.write(CLR + PAD + wordmark(h));
     await sleep(55);

package/src/ui/logo.js

@@ -1,4 +1,3 @@
-// Généré par scripts/gen-logo.mjs depuis logo.png — ne pas éditer à la main.
 export const LOGO = [
   "  \u001b[38;2;229;206;164m\u001b[48;2;238;209;162m▀\u001b[0m\u001b[38;2;222;196;153m▄\u001b[0m                                    \u001b[38;2;210;181;134m▄\u001b[0m\u001b[38;2;204;176;130m\u001b[48;2;222;187;138m▀\u001b[0m  ",
   "  \u001b[38;2;220;189;140m\u001b[48;2;213;181;135m▀\u001b[0m\u001b[38;2;235;202;153m\u001b[48;2;229;195;144m▀\u001b[0m\u001b[38;2;222;194;150m\u001b[48;2;231;197;147m▀\u001b[0m\u001b[38;2;222;191;145m▄\u001b[0m                                \u001b[38;2;208;177;130m▄\u001b[0m\u001b[38;2;210;179;132m\u001b[48;2;216;179;128m▀\u001b[0m\u001b[38;2;218;182;131m\u001b[48;2;213;177;126m▀\u001b[0m\u001b[38;2;205;171;124m\u001b[48;2;196;163;116m▀\u001b[0m  ",

package/src/ui/results.js

@@ -1,5 +1,3 @@
-// Affichage des résultats en table dans le terminal.
-
 import chalk from 'chalk';
 import Table from 'cli-table3';
 import { rank, paint, SEVERITIES } from '../core/severity.js';

package/src/web/server.js

@@ -1,7 +1,3 @@
-// Serveur web local d'Icarus : sert l'UI, expose une API REST et streame la
-// sortie des scans en direct (NDJSON sur la réponse POST). Aucune dépendance
-// externe : http natif uniquement.
-
 import { createServer } from 'node:http';
 import { readFileSync, existsSync, createReadStream } from 'node:fs';
 import { join, dirname, extname, basename } from 'node:path';
@@ -30,7 +26,6 @@ function readBody(req) {
   });
 }
 
-// Schéma "public" des outils (avec options) pour que l'UI génère ses contrôles.
 function toolsState() {
   return toolStatus({ fresh: true }).map(({ tool, bin, available }) => ({
     id: tool.id,
@@ -127,7 +122,6 @@ export function startWeb({ port = 7373 } = {}) {
         return serveStatic(res, f);
       }
 
-      // Fichiers statiques de l'UI.
       const rel = url.pathname === '/' ? 'index.html' : url.pathname.replace(/^\//, '');
       return serveStatic(res, join(PUBLIC, basename(rel)));
     } catch (err) {
@@ -135,7 +129,17 @@ export function startWeb({ port = 7373 } = {}) {
     }
   });
 
-  return new Promise((resolve) => {
-    server.listen(port, () => resolve({ server, url: `http://localhost:${port}` }));
+  return new Promise((resolve, reject) => {
+    let p = port;
+    let tries = 0;
+    server.on('error', (err) => {
+      if (err.code === 'EADDRINUSE' && tries++ < 15) {
+        server.listen(++p);
+      } else {
+        reject(err);
+      }
+    });
+    server.once('listening', () => resolve({ server, url: `http://localhost:${p}`, port: p }));
+    server.listen(p);
   });
 }