قمت بفحص 5 تطبيقات حقيقية باستخدام ماسح أمني
لقد قمت ببناء VibeSafe لفحص الأكواد البرمجية التي يتم إنشاؤها بواسطة الذكاء الاصطناعي. وقد اختبرته على 5 تطبيقات حقيقية من معرض Vibe Coding Showcase.
النتائج سيئة.
جميع التطبيقات الخمسة كانت تعاني من مشكلات أمنية. لم يحتوي أي تطبيق منها على سياسة أمان المحتوى (Content Security Policy). لقد وجدت 33 مشكلة إجمالاً.
التفاصيل:
- 6 مشكلات حرجة
- 9 مشكلات عالية الخطورة
- 18 مشكلة متوسطة الخطورة
إليكم ما وجدته في التطبيقات:
التطبيق 1: منصة صحة الأم هذا التطبيق يسرب البيانات.
- ملفات
.envعامة. يمكن لأي شخص سرقة بيانات الاعتماد الخاصة بك. - مجلد
.gitمكشوف. يمكن لأي شخص تنزيل سجل الأكواد البرمجية بالكامل. - لا يوجد حماية من هجمات XSS.
- لا يوجد تحديد لمعدل الطلبات (rate limiting) عند تسجيل الدخول.
التطبيق 2: منصة ولاء عبر الرسائل النصية (SMS) يتبع هذا التطبيق نفس نمط التطبيق الأول.
- ملفات
.envعامة. - مجلد
.gitعام. - لا توجد ترويسات أمنية (security headers).
- لا توجد حماية للمصادقة (auth protection).
التطبيق 3: منصة SaaS تم بناؤها بواسطة مدير تقني (CTO) خبير، ومع ذلك لا تزال تحتوي على ثغرات.
- تم تسريب مجلد
.git. - كانت أدلة التخزين المؤقت لـ Python عامة.
- لا يوجد حماية من هجمات XSS.
التطبيق 4: تطبيق للوالدية كان هذا التطبيق الأفضل في المجموعة، لكنه لا يزال ينطوي على مخاطر.
- ملفات SSL و
.envكانت آمنة. - لا يوجد حماية من هجمات XSS.
- لا يوجد تحديد لمعدل الطلبات عند تسجيل الدخول، مما يسمح بهجمات القوة الغاشمة (brute-force attacks).
التطبيق 5: منتج Netlify
- شهادة SSL غير صالحة.
- المتصفحات تحظر هذا الموقع لكونه غير آمن.
ملخص المخاطر الشائعة:
- عدم وجود سياسة أمان المحتوى (Content Security Policy): 100% من التطبيقات
- عدم وجود X-Frame-Options: 100% من التطبيقات
- عدم وجود تحديد لمعدل الطلبات: 80% من التطبيقات
- ملفات
.envأو.gitمكشوفة: 60% من التطبيقات
يمكنك إصلاح 90% من هذه المشكلات في 15 دقيقة.
كيفية إصلاحها:
- إضافة Content-Security-Policy: دقيقة واحدة
- إضافة X-Frame-Options: دقيقة واحدة
- إضافة HSTS: دقيقة واحدة
- حظر ملفات
.envو.git: دقيقة واحدة - إضافة برمجية وسيطة لتحديد معدل الطلبات (rate limiting middleware): 10 دقائق
هذه ليست مجرد تجارب صغيرة، بل هي منتجات حقيقية تعمل مع مستخدمين فعليين. وهي تتعامل مع بيانات صحية، وبيانات رسائل نصية، وحسابات مستخدمين. معظمها معرض حالياً لسرقة البيانات وهجمات Clickjacking.
