Skip to content

Instantly share code, notes, and snippets.

@leandroandrade

leandroandrade/prompts.md

Last active February 14, 2026 00:13
Show Gist options

  • Select an option

    Learn more about clone URLs
  • Save leandroandrade/d20797ed15ef5d8cdb1db855999550ca to your computer and use it in GitHub Desktop.

Select an option

Learn more about clone URLs
Save leandroandrade/d20797ed15ef5d8cdb1db855999550ca to your computer and use it in GitHub Desktop.
Download ZIP
prompts
Raw
prompts.md

Revisão Técnica

Atue como um engenheiro de software sênior, com experiência em arquitetura, qualidade de código, performance, confiabilidade e testes.

Analise a implementação fornecida considerando todas as seções abaixo.
Seja crítico, objetivo e técnico. Priorize problemas reais e sugestões acionáveis.

Revisão Geral da Implementação

  • Identifique falhas funcionais ou lógicas
  • Aponte problemas de design e arquitetura
  • Avalie legibilidade, coesão e manutenibilidade
  • Verifique aderência a boas práticas e padrões consolidados
  • Sugira melhorias claras e justificadas

Análise de Qualidade de Código

  • Avalie complexidade, clareza e organização
  • Identifique código redundante ou desnecessário
  • Verifique aderência a princípios como SOLID, KISS e DRY
  • Destaque pontos que dificultam evolução ou refatoração futura
  • Classifique problemas por severidade

Validação dos Requisitos do Card

  • Verifique se todos os requisitos funcionais e não funcionais foram atendidos
  • Aponte requisitos não atendidos ou atendidos parcialmente
  • Identifique ambiguidades ou lacunas nos requisitos
  • Avalie se a implementação respeita o escopo definido

Requisitos: [COLE AQUI OS REQUISITOS DO CARD]

Tratamento de Erros e Performance

  • Avalie a estratégia de tratamento de erros e exceções
  • Identifique falhas silenciosas ou erros mal tratados
  • Analise impacto de performance e uso de recursos
  • Identifique possíveis gargalos
  • Sugira melhorias priorizando eficiência sem violar regras de negócio

Chaos Engineering e Resiliência

  • Simule falhas de dependências externas
  • Avalie comportamento sob:
    • Timeout
    • Indisponibilidade parcial
    • Retornos inesperados
  • Identifique pontos únicos de falha (SPOF)
  • Sugira estratégias como:
    • Retry
    • Circuit breaker
    • Fallback
    • Graceful shutdown

Side Effects e Impactos Colaterais

  • Identifique efeitos colaterais diretos ou indiretos
  • Avalie impacto em fluxos existentes
  • Verifique alterações de comportamento implícitas
  • Analise impactos em dados, segurança e performance
  • Sugira medidas corretivas ou preventivas

Retrocompatibilidade

  • Avalie se há quebra de contratos existentes
  • Verifique impacto em consumidores antigos
  • Analise mudanças em APIs, eventos ou persistência
  • Identifique riscos de breaking changes
  • Sugira estratégias de mitigação

Typesafety End-to-End e Documentação

  • Avalie se existe typesafety end-to-end entre camadas
  • Identifique inconsistências de tipos
  • Avalie contratos (DTOs, schemas, APIs)
  • Indique pontos que precisam de documentação técnica
  • Sugira melhorias para garantir confiabilidade e clareza

Testes Automatizados

  • Identifique cenários críticos que precisam de testes
  • Sugira testes unitários, de integração e edge cases
  • Aponte lacunas na cobertura atual
  • Indique o que deve ser mockado e o que deve ser testado de forma real
  • Sugira melhorias na estratégia de testes

Overview

  • Quero entender melhor sobre esse projeto, o que é, quais tecnologias são usadas, como os serviços são conectados e quais são as core features.

Análise arquitetural

  • Analise o projeto e identifique duplicações, más práticas, problemas de arquitetura. Sinalize, detalhe e traga as implicações e um plano de ação para ajustar.

Ssecurity

A prompt that saved me millions 👇

Run each one of them separately and let me know if it also saved you some future troubles.

AUDIT INSTRUCTIONS

1. FILE VALIDATION

Analyze whether uploaded files can bypass validation by:

  • MIME spoofing
  • Extension manipulation
  • Polyglot files
  • SVG or XML-based payloads
  • Embedded scripts or executable sections
  • Corrupted or malformed headers

Explicitly state:

  • What validation is performed
  • What validation is missing
  • How it can be bypassed in practice

2. EXECUTION & INTERPRETATION RISK

Determine whether uploaded files can:

  • Be executed by the server
  • Be interpreted by the runtime or web server
  • Be parsed by dangerous libraries
  • Be accessed via predictable URLs
  • Be re-served with dangerous content-types

Identify any path to:

  • Remote Code Execution (RCE)
  • Server-side template injection
  • Stored XSS
  • Arbitrary file read/write

3. IMAGE PROCESSING ATTACK SURFACE

Evaluate all image processing steps for:

  • Image parser vulnerabilities
  • Decompression bombs
  • Memory exhaustion
  • CPU exhaustion
  • Known library CVEs
  • Unsafe external command execution
  • Lack of sandboxing

State whether processing runs:

  • In-process
  • With OS privileges
  • In a sandbox or container
  • With time/memory limits

4. STORAGE & ACCESS CONTROL

Assess:

  • Storage location (inside vs outside web root)
  • Filename generation strategy
  • Path traversal risks
  • Direct object reference risks
  • Permission isolation between uploads
  • Lifetime and deletion policies

Explain how an attacker could:

  • Access other users’ uploads
  • Overwrite sensitive files
  • Enumerate stored objects

5. METADATA & SIDE CHANNELS

Analyze risks from:

  • EXIF metadata
  • GPS/location leaks
  • Internal paths or usernames
  • Library error messages
  • Timing or size-based inference

6. DENIAL OF SERVICE

Evaluate exposure to:

  • Large files
  • High-resolution images
  • Zip bombs / image bombs
  • Concurrent upload abuse
  • Disk exhaustion

Quantify:

  • Maximum impact
  • Cost to attacker vs cost to server

7. THREAT PRIORITIZATION

Produce a ranked list of vulnerabilities by:

  1. Exploitability
  2. Impact
  3. Likelihood in real deployments

For each:

  • Describe a concrete exploit scenario
  • Identify the weakest assumption being violated

8. HARD INVARIANTS

List non-negotiable security invariants this system must satisfy to be safe.

Example format:

“Uploaded files must never be executable under any circumstan

Do not propose vague best practices.

Only enforceable, testable invariants.

9. PENTEST

https://github.com/KeygraphHQ/shannon

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment