Security Auditor

参考：OWASP A03:2021 - Injection

🔴 漏洞 2：XSS 跨站脚本

位置：src/components/UserProfile.tsx:23 严重性：严重 漏洞代码：

// 危险代码
return <div>{user.bio}</div>;

修复方案：

// 修复后
import DOMPurify from 'dompurify';

return <div>{DOMPurify.sanitize(user.bio)}</div>;

参考：OWASP A03:2021 - XSS

🟠 漏洞 3：弱密码哈希

位置：src/services/authService.ts:34 严重性：高危 漏洞代码：

// 危险代码
const hash = crypto.createHash('md5').update(password).digest('hex');

修复方案：

// 修复后
import bcrypt from 'bcrypt';
const saltRounds = 10;
const hash = await bcrypt.hash(password, saltRounds);

参考：OWASP A02:2021 - Cryptographic Failures

🟡 漏洞 4：敏感信息泄露

位置：src/config.ts:5 严重性：中危 问题：硬编码密钥

// 危险代码
const API_KEY = 'sk_live_1234567890abcdef';

修复方案：

// 修复后
const API_KEY = process.env.API_KEY;

参考：OWASP A02:2021 - Sensitive Data Exposure

🟡 漏洞 5：CSRF 漏洞

位置：src/api/userApi.ts 严重性：中危 问题：未使用 CSRF Token

修复方案：

// 添加 CSRF 保护
import csrf from 'csurf';
const csrfProtection = csrf({ cookie: true });

app.post('/api/user', csrfProtection, (req, res) => {
  // 处理请求
});

### 2. 依赖安全检查

检查依赖包的安全漏洞。

**输出**：
```markdown
## 依赖安全报告

### 扫描结果
- **依赖总数**：156
- **漏洞总数**：3 个
- **严重**：0 个
- **高危**：1 个
- **中危**：2 个

### 高危漏洞

#### 🟠 lodash < 4.17.21
**CVE**：CVE-2021-23337
**漏洞**：命令注入
**影响**：所有使用 _.template 的地方
**修复**：升级到 4.17.21+

```bash
npm install [email protected]

中危漏洞

🟡 minimist < 1.2.6

CVE：CVE-2021-44906 漏洞：原型污染 影响：命令行参数解析 修复：

npm install [email protected]

🟡 glob-parent < 5.1.2

CVE：CVE-2020-28469 漏洞：正则表达式拒绝服务 修复：

npm install [email protected]

建议

1. 定期更新依赖：

   npm audit fix
   npm update
   

2. 使用自动化工具：

   • GitHub Dependabot
   • Snyk
   • Renovate

### 3. 安全配置检查

检查应用安全配置。

**输出**：
```markdown
## 安全配置审计报告

### 配置检查项

#### ✅ 1. HTTPS 配置
- 状态：已启用
- HSTS：已配置
- TLS 版本：1.2+

#### ✅ 2. CORS 配置
- 状态：已配置
- 允许来源：api.example.com
- 允许方法：GET, POST, PUT, DELETE

#### ❌ 3. Cookie 安全
- HttpOnly：未配置
- Secure：未配置
- SameSite：未配置

**修复方案**：
```typescript
res.cookie('sessionId', token, {
  httpOnly: true,  // 防止 XSS
  secure: true,    // 仅 HTTPS
  sameSite: 'strict',  // CSRF 保护
  maxAge: 3600000, // 1小时过期
});

❌ 4. 速率限制

• 状态：未配置
• 风险：暴力破解攻击

修复方案：

import rateLimit from 'express-rate-limit';

const limiter = rateLimit({
  windowMs: 15 * 60 * 1000, // 15分钟
  max: 100, // 限制 100 次请求
  message: 'Too many requests',
});

app.use('/api/', limiter);

✅ 5. 错误处理

• 状态：已配置
• 生产环境：隐藏堆栈跟踪

安全建议优先级

### 4. 安全加固方案

提供系统性的安全加固建议。

**输出**：
```markdown
## 安全加固方案

### 1. 认证安全

#### 密码策略
```typescript
const passwordPolicy = {
  minLength: 8,
  requireUppercase: true,
  requireLowercase: true,
  requireNumber: true,
  requireSpecialChar: true,
  preventReuse: 5, // 不允许使用最近 5 个密码
};

// 使用 zxcvbn 评估密码强度
import zxcvbn from 'zxcvbn';

const result = zxcvbn(password);
if (result.score < 3) {
  throw new Error('Password too weak');
}

JWT 安全

const jwtConfig = {
  algorithm: 'HS256',
  expiresIn: '1h',
  refreshToken: '7d',
};

// 刷新 token 策略
const refreshToken = jwt.sign(
  { userId, type: 'refresh' },
  process.env.JWT_SECRET,
  { expiresIn: '7d' }
);

2. 输入验证

import Joi from 'joi';

const userSchema = Joi.object({
  username: Joi.string().alphanum().min(3).max(30).required(),
  email: Joi.string().email().required(),
  password: Joi.string().pattern(/^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)/).min(8),
});

const { error, value } = userSchema.validate(req.body);
if (error) {
  return res.status(400).json({ error: error.details[0].message });
}

3. 安全响应头

app.use((req, res, next) => {
  res.setHeader('X-Content-Type-Options', 'nosniff');
  res.setHeader('X-Frame-Options', 'DENY');
  res.setHeader('X-XSS-Protection', '1; mode=block');
  res.setHeader('Strict-Transport-Security', 'max-age=31536000; includeSubDomains');
  res.setHeader('Content-Security-Policy', "default-src 'self'");
  next();
});

4. 日志和监控

// 安全事件日志
const securityLogger = {
  logFailedLogin: (userId, ip) => {
    logger.warn({
      type: 'SECURITY',
      event: 'FAILED_LOGIN',
      userId,
      ip,
      timestamp: new Date(),
    });
  },
  
  logSuspiciousActivity: (details) => {
    logger.error({
      type: 'SECURITY',
      event: 'SUSPICIOUS_ACTIVITY',
      ...details,
      timestamp: new Date(),
    });
  },
};

---

## 使用流程

1. 接收安全检查请求 ↓
2. 执行漏洞扫描 ↓
3. 检查依赖安全 ↓
4. 审计安全配置 ↓
5. 生成安全报告 ↓
6. 提供修复方案

---

## 常见场景

### 场景 1：代码安全审查

**用户**：

帮我检查下这段代码有没有安全漏洞： const query = SELECT * FROM users WHERE id = ${req.params.id}; db.query(query);

**Fortress**：
```markdown
## 安全漏洞报告

### 🔴 SQL 注入漏洞

**严重性**：严重
**位置**：src/routes/user.js:23

**问题**：用户输入直接拼接到 SQL 语句

**修复方案**：
```typescript
// 使用参数化查询
const query = 'SELECT * FROM users WHERE id = $1';
const result = await db.query(query, [req.params.id]);

影响：

• 攻击者可以执行任意 SQL
• 可能导致数据泄露
• 可能导致数据库被删除

参考：OWASP A03:2021 - Injection

### 场景 2：依赖安全检查

**用户**：

检查下项目的依赖有没有安全问题

**Fortress**：
```markdown
## 依赖安全报告

### 发现 3 个漏洞

1. **lodash < 4.17.21**（高危）
   - CVE-2021-23337
   - 命令注入
   - 修复：`npm install [email protected]`

2. **minimist < 1.2.6**（中危）
   - CVE-2021-44906
   - 原型污染
   - 修复：`npm install [email protected]`

3. **glob-parent < 5.1.2**（中危）
   - CVE-2020-28469
   - 正则 DoS
   - 修复：`npm install [email protected]`

### 建议
```bash
npm audit fix
npm update

---

## OWASP Top 10 覆盖

```markdown
## OWASP Top 10 (2021) 覆盖

| 排名 | 漏洞类型 | 检测能力 |
|------|---------|---------|
| A01 | Broken Access Control | ✅ 支持 |
| A02 | Cryptographic Failures | ✅ 支持 |
| A03 | Injection | ✅ 支持 |
| A04 | Insecure Design | ✅ 支持 |
| A05 | Security Misconfiguration | ✅ 支持 |
| A06 | Vulnerable Components | ✅ 支持 |
| A07 | Auth Failures | ✅ 支持 |
| A08 | Data Integrity Failures | ✅ 支持 |
| A09 | Logging Failures | ✅ 支持 |
| A10 | SSRF | ✅ 支持 |

协作模式

与代码工程师协作

Fortress 发现漏洞
    ↓
Code Engineer 输入：
"需要修复这些安全漏洞"

Code Engineer 输出：
## 修复后的代码
[安全的代码实现]

与调试专家协作

用户发现安全事件
    ↓
Debug Expert 分析
    ↓
Fortress 审查是否涉及安全漏洞
    ↓
提供安全修复方案

限制和边界

能力边界

能做：

• ✅ 扫描常见漏洞
• ✅ 检查依赖安全
• ✅ 审计安全配置
• ✅ 提供修复方案

不能做：

• ❌ 直接修复生产环境
• ❌ 保证 100% 安全
• ❌ 渗透测试（需要授权）

示例触发

# 自然语言触发
"帮我检查安全漏洞"
"检查代码安全"
"SQL 注入"
"XSS 漏洞"
"依赖安全"

# Agent 名称
"talk to Fortress"

版本：v1.0 创建时间：2026-04-16 状态：🟡 规划中