Niveaux de sévérité
Chaque problème détecté se voit attribuer un niveau de sévérité :Critique
Risque d’exploitation immédiat ou défaut bloquant pour l’utilisateur. À corriger avant le déploiement.
Élevé
Exposition de sécurité significative ou barrière d’accessibilité sérieuse. Priorité haute.
Moyen
Risque notable ou dégradation de l’utilisabilité. À corriger dans le sprint en cours.
Faible
Problème mineur ou écart par rapport aux bonnes pratiques. À corriger selon les disponibilités.
Problèmes de sécurité
Les problèmes de sécurité sont détectés par l’Agent de sécurité et mappés aux catégories de vulnérabilités OWASP et aux standards de l’industrie.| Catégorie | Problèmes | Sévérité max |
|---|---|---|
| Contrôle d’accès | Accès non authentifié, escalade de privilèges, navigation forcée, contournement de méthode | Critique |
| Authentification | Identifiants par défaut, pulvérisation de mots de passe, limitation de débit, mots de passe faibles | Critique |
| Gestion des sessions | ID de session dans l’URL, jetons faibles, flag HttpOnly manquant | Critique |
| Injection | XSS, injection SQL/NoSQL, extraction de paramètres ORM | Élevé |
| Cryptographie | Pages non chiffrées, hachage faible, en-têtes mal configurés, CORS, secrets exposés | Critique |
| Divulgation d’information | Fichiers exposés, fuite de version du serveur, pages d’erreur verboses, journalisation console | Critique |
| Validation des entrées | Champs de saisie non validés | Faible |
Problèmes de qualité
Les problèmes de qualité sont détectés par l’Agent de qualité et se concentrent sur la conformité à l’accessibilité WCAG 2.1 et les bonnes pratiques UX générales.| Catégorie | Problèmes | Sévérité max |
|---|---|---|
| Accessibilité | Navigation au clavier, support des lecteurs d’écran, contraste des couleurs, taille du texte | Élevé |
| Formulaires | Étiquettes, messages d’erreur, indicateurs de champs obligatoires | Critique |
| Navigation | Clarté des liens, cohérence de la navigation, confirmation des actions destructives | Critique |
| Conception réactive | Cibles tactiles, débordement horizontal, titres de page manquants | Élevé |
Fonctionnement de la détection
QAOS utilise trois méthodes de détection :Gestionnaires déterministes
Vérifications rapides basées sur le code qui analysent le DOM brut, les cookies, les en-têtes de réponse HTTP ou le code source JavaScript pour des motifs spécifiques. Exemples : vérification du flag
HttpOnly sur les cookies de session, analyse des scripts pour Math.random() utilisé comme générateur de jeton.Évaluation LLM
L’agent envoie l’état de la page (DOM, capture d’écran, arbre d’accessibilité) à un LLM avec une invite structurée lui demandant d’évaluer la page par rapport à des définitions de problèmes spécifiques. Cela détecte les problèmes dépendants du contexte que les seuls motifs de code ne peuvent pas identifier.
Tests basés sur des sous-tâches
Pour certains problèmes, l’agent propose et exécute des sous-tests interactifs — comme tenter de se connecter avec des identifiants par défaut connus, soumettre des formulaires avec des charges utiles XSS, ou essayer d’accéder à des ressources protégées après s’être déconnecté.