QAOS détecte des critères dans deux grands domaines — sécurité et UI/UX — en utilisant une combinaison de vérifications déterministes et d’analyses propulsées par LLM.Documentation Index
Fetch the complete documentation index at: https://docs.qaos.machdel.com/llms.txt
Use this file to discover all available pages before exploring further.
Niveaux de sévérité
Chaque critère détecté se voit attribuer un niveau de sévérité :Critique
Risque d’exploitation immédiat ou défaut bloquant pour l’utilisateur. À corriger avant le déploiement.
Élevé
Exposition de sécurité significative ou barrière d’accessibilité sérieuse. Priorité haute.
Moyen
Risque notable ou dégradation de l’utilisabilité. À corriger dans le sprint en cours.
Faible
Critère mineur ou écart par rapport aux bonnes pratiques. À corriger selon les disponibilités.
Critères de sécurité
Les critères de sécurité sont détectés par l’Agent de sécurité et mappés aux catégories de vulnérabilités OWASP et aux standards de l’industrie.| Catégorie | Critères | Sévérité max |
|---|---|---|
| Contrôle d’accès | Accès non authentifié, escalade de privilèges, navigation forcée, contournement de méthode | Critique |
| Authentification | Identifiants par défaut, pulvérisation de mots de passe, limitation de débit, mots de passe faibles | Critique |
| Gestion des sessions | ID de session dans l’URL, jetons faibles, flag HttpOnly manquant | Critique |
| Injection | XSS, injection SQL/NoSQL, extraction de paramètres ORM | Élevé |
| Cryptographie | Pages non chiffrées, en-têtes mal configurés, CORS | Critique |
| Divulgation d’information | Fichiers exposés, fuite de version du serveur, pages d’erreur verboses, journalisation console | Critique |
| Validation des entrées | Champs de saisie non validés | Faible |
Critères UI/UX
Les critères UI/UX sont détectés par l’Agent UI/UX et se concentrent sur la conformité à l’accessibilité WCAG 2.1 et les bonnes pratiques UX générales.| Catégorie | Critères | Sévérité max |
|---|---|---|
| Accessibilité | Navigation au clavier, support des lecteurs d’écran, contraste des couleurs, taille du texte | Élevé |
| Formulaires | Étiquettes, messages d’erreur, indicateurs de champs obligatoires | Critique |
| Navigation | Clarté des liens, cohérence de la navigation, confirmation des actions destructives | Critique |
| Conception réactive | Cibles tactiles, débordement horizontal, titres de page manquants | Élevé |
Fonctionnement de la détection
QAOS utilise trois méthodes de détection :Gestionnaires déterministes
Vérifications rapides basées sur le code qui analysent le DOM brut, les cookies, les en-têtes de réponse HTTP ou le code source JavaScript pour des motifs spécifiques. Exemples : vérification du flag
HttpOnly sur les cookies de session, analyse des scripts pour Math.random() utilisé comme générateur de jeton.Évaluation LLM
L’agent envoie l’état de la page (DOM, capture d’écran, arbre d’accessibilité) à un LLM avec une invite structurée lui demandant d’évaluer la page par rapport à des définitions de critères spécifiques. Cela détecte les critères dépendants du contexte que les seuls motifs de code ne peuvent pas identifier.
Tests basés sur des sous-tâches
Pour certains critères, l’agent propose et exécute des sous-tests interactifs — comme tenter de se connecter avec des identifiants par défaut connus, soumettre des formulaires avec des charges utiles XSS, ou essayer d’accéder à des ressources protégées après s’être déconnecté.