Ich habe 5 echte Apps mit einem Security-Scanner gescannt

Ich habe VibeSafe entwickelt, um KI-generierten Code zu scannen. Ich habe es mit 5 echten Apps aus dem Vibe Coding Showcase getestet.

Die Ergebnisse sind schlecht.

Alle 5 Apps hatten Sicherheitslücken. Keine einzige App verfügte über eine Content Security Policy. Ich habe insgesamt 33 Probleme gefunden.

Die Aufschlüsselung:

  • 6 kritische Schwachstellen
  • 9 hohe Schwachstellen
  • 18 mittlere Schwachstellen

Das habe ich in den Apps gefunden:

App 1: Plattform für Müttergesundheit Diese App hat Datenlecks.

  • .env-Dateien sind öffentlich. Jeder kann Ihre Zugangsdaten stehlen.
  • Der .git-Ordner ist offen zugänglich. Jeder kann Ihre gesamte Code-Historie herunterladen.
  • Kein XSS-Schutz.
  • Kein Rate Limiting beim Login.

App 2: SMS-Loyalitätsplattform Diese folgt demselben Muster wie App 1.

  • Öffentliche .env-Dateien.
  • Öffentlicher .git-Ordner.
  • Keine Security-Header.
  • Kein Auth-Schutz.

App 3: SaaS-Plattform Von einem erfahrenen CTO entwickelt, aber dennoch mit Lücken.

  • Der .git-Ordner wurde geleakt.
  • Python-Cache-Verzeichnisse waren öffentlich.
  • Kein XSS-Schutz.

App 4: Eltern-App Dies war die beste der Gruppe, aber dennoch riskant.

  • SSL und .env-Dateien waren sicher.
  • Kein XSS-Schutz.
  • Kein Rate Limiting beim Login. Dies ermöglicht Brute-Force-Angriffe.

App 5: Netlify-Produkt

  • Das SSL-Zertifikat ist ungültig.
  • Browser blockieren diese Seite, da sie unsicher ist.

Zusammenfassung der häufigsten Risiken:

  • Keine Content Security Policy: 100 % der Apps
  • Keine X-Frame-Options: 100 % der Apps
  • Kein Rate Limiting: 80 % der Apps
  • Offene .env- oder .git-Dateien: 60 % der Apps

Sie können 90 % dieser Probleme in 15 Minuten beheben.

So beheben Sie sie:

  • Content-Security-Policy hinzufügen: 1 Minute
  • X-Frame-Options hinzufügen: 1 Minute
  • HSTS hinzufügen: 1 Minute
  • .env- und .git-Dateien blockieren: 1 Minute
  • Rate-Limiting-Middleware hinzufügen: 10 Minuten

Dies sind keine kleinen Experimente. Dies sind Live-Produkte mit echten Nutzern. Sie verarbeiten Gesundheitsdaten, SMS-Daten und Benutzerkonten. Die meisten sind derzeit anfällig für Datendiebstahl und Clickjacking.

Quelle: https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04