---
name: security-audit
description: Auditoria de seguranca para aplicacoes web e servidores -- identificacao de vulnerabilidades, verificacao OWASP/GDPR e recomendacoes de hardening.
---

# /security-audit - Security Compliance Specialist

Auditoria de seguranca seguindo padroes OWASP Top 10, GDPR e best practices Descomplicar.

---

## Quando usar

- Auditar codigo para vulnerabilidades
- Verificar configuracoes de seguranca servidor
- Avaliar compliance GDPR/ISO
- Security review de aplicacoes
- Analise de logs de seguranca
- Pentest basico (ethical hacking)
- Hardening de servidor/aplicacao

---

## Protocolo obrigatorio

### 1. Pesquisa inicial (SEMPRE)

```javascript
// Antes de qualquer audit, consultar historico
await mcp__memory-supabase__search_memories({
  query: "security vulnerabilidade [sistema/projecto]",
  limit: 5
});
```

### 2. Verificar contexto

- [ ] Vulnerabilidades anteriores no sistema
- [ ] Incidentes de seguranca passados
- [ ] Politicas de seguranca existentes
- [ ] Compliance requirements (GDPR, ISO, etc.)
- [ ] Stack tecnologico e versoes

---

## Workflow principal

### Passo 1: OWASP Top 10

Executar checklist completa por categoria. Ver detalhes e exemplos de codigo em:

**-> [references/owasp-checklist.md](references/owasp-checklist.md)**

Resumo das 10 categorias:

| # | Categoria | Foco principal |
|---|-----------|----------------|
| A01 | Broken Access Control | IDOR, RBAC, path traversal |
| A02 | Cryptographic Failures | bcrypt, HTTPS, cookies seguras |
| A03 | Injection | SQL, command, template injection |
| A04 | Insecure Design | Rate limiting, MFA, session timeout |
| A05 | Security Misconfiguration | Headers, directory listing, ficheiros expostos |
| A06 | Vulnerable Components | Dependencias desactualizadas, CVEs |
| A07 | Auth Failures | Session fixation, user enum, lockout |
| A08 | Data Integrity | Deserialization, SRI, CI/CD |
| A09 | Logging Failures | Logs de acesso, retencao, alertas |
| A10 | SSRF | Whitelist de dominios, validacao URL |

### Passo 2: Classificar findings

| Severidade | Score CVSS | Prazo correcao |
|------------|-----------|----------------|
| **Critico** | 9-10 | Imediato (<24h) |
| **Alto** | 7-8.9 | 24-48h |
| **Medio** | 4-6.9 | 7 dias |
| **Baixo** | 1-3.9 | 30 dias |

**Calculo CVSS v3:** https://www.first.org/cvss/calculator/3.1

### Passo 3: Gerar relatorio

Usar template completo com findings, compliance OWASP, GDPR e plano de remediacao:

**-> [references/report-template.md](references/report-template.md)**

O template inclui:
- Executive summary com score global
- Findings por severidade (com evidencia e remediacao)
- Tabela OWASP Top 10 compliance
- Checklist GDPR completo (consentimento, direitos, seguranca, documentacao)
- Ferramentas SAST/DAST utilizadas
- Hardening checklists (Linux, Web Server, PHP, MySQL)

### Passo 4: Hardening (se aplicavel)

Aplicar correcoes seguindo checklists em `references/report-template.md` (seccao Hardening).

---

## Ferramentas rapidas

```bash
# Headers HTTP
curl -I https://site.com | grep -E "X-|Content-Security|Strict-Transport"

# SSL Labs
curl "https://api.ssllabs.com/api/v3/analyze?host=site.com"

# Dependencias PHP
composer audit

# Dependencias Node
npm audit

# WordPress
wpscan --url https://site.com --api-token YOUR_TOKEN
```

---

## Contexto NotebookLM

Consultar ANTES de executar para contexto especializado:

| Notebook | ID | Consultar quando |
|----------|-----|-----------------|
| Ciberseguranca WordPress | 5f60adfd-2435-4725-8c12-9c11c5f51d75 | Sempre |

```
mcp__notebooklm__notebook_query({
  notebook_id: "5f60adfd-2435-4725-8c12-9c11c5f51d75",
  query: "<adaptar ao contexto de auditoria>"
})
```

---

## Anti-patterns

| Anti-pattern | Problema | Solucao |
|--------------|----------|---------|
| Auditar sem historico | Repetir trabalho | Consultar memoria primeiro |
| Ignorar severidade | Tudo parece urgente | Classificar com CVSS |
| Relatorio sem evidencia | Nao accionavel | Incluir PoC e remediacao |
| Expor credenciais | Fuga de dados | Mascarar PII no relatorio |
| Auditar parcialmente | Falsa seguranca | OWASP Top 10 completo |

---

## Confidencialidade

- **Nunca** expor credenciais em relatorios
- **Mascarar** dados sensiveis (`email: *****@domain.com`)
- **Restringir** relatorios a stakeholders autorizados
- **Eliminar** ficheiros temporarios apos analise

---

## Ficheiros de referencia

| Ficheiro | Conteudo |
|----------|----------|
| [references/owasp-checklist.md](references/owasp-checklist.md) | OWASP Top 10 detalhado com codigo vulneravel vs seguro e testes |
| [references/report-template.md](references/report-template.md) | Template relatorio, GDPR checklist, ferramentas SAST/DAST, hardening checklists |