Ich habe 5 echte Apps mit einem Security-Scanner gescannt
Ich habe VibeSafe entwickelt, um KI-generierten Code zu scannen. Ich habe es mit 5 echten Apps aus dem Vibe Coding Showcase getestet.
Die Ergebnisse sind schlecht.
Alle 5 Apps hatten Sicherheitslücken. Keine einzige App verfügte über eine Content Security Policy. Ich habe insgesamt 33 Probleme gefunden.
Die Aufschlüsselung:
- 6 kritische Schwachstellen
- 9 hohe Schwachstellen
- 18 mittlere Schwachstellen
Das habe ich in den Apps gefunden:
App 1: Plattform für Müttergesundheit Diese App hat Datenlecks.
- .env-Dateien sind öffentlich. Jeder kann Ihre Zugangsdaten stehlen.
- Der .git-Ordner ist offen zugänglich. Jeder kann Ihre gesamte Code-Historie herunterladen.
- Kein XSS-Schutz.
- Kein Rate Limiting beim Login.
App 2: SMS-Loyalitätsplattform Diese folgt demselben Muster wie App 1.
- Öffentliche .env-Dateien.
- Öffentlicher .git-Ordner.
- Keine Security-Header.
- Kein Auth-Schutz.
App 3: SaaS-Plattform Von einem erfahrenen CTO entwickelt, aber dennoch mit Lücken.
- Der .git-Ordner wurde geleakt.
- Python-Cache-Verzeichnisse waren öffentlich.
- Kein XSS-Schutz.
App 4: Eltern-App Dies war die beste der Gruppe, aber dennoch riskant.
- SSL und .env-Dateien waren sicher.
- Kein XSS-Schutz.
- Kein Rate Limiting beim Login. Dies ermöglicht Brute-Force-Angriffe.
App 5: Netlify-Produkt
- Das SSL-Zertifikat ist ungültig.
- Browser blockieren diese Seite, da sie unsicher ist.
Zusammenfassung der häufigsten Risiken:
- Keine Content Security Policy: 100 % der Apps
- Keine X-Frame-Options: 100 % der Apps
- Kein Rate Limiting: 80 % der Apps
- Offene .env- oder .git-Dateien: 60 % der Apps
Sie können 90 % dieser Probleme in 15 Minuten beheben.
So beheben Sie sie:
- Content-Security-Policy hinzufügen: 1 Minute
- X-Frame-Options hinzufügen: 1 Minute
- HSTS hinzufügen: 1 Minute
- .env- und .git-Dateien blockieren: 1 Minute
- Rate-Limiting-Middleware hinzufügen: 10 Minuten
Dies sind keine kleinen Experimente. Dies sind Live-Produkte mit echten Nutzern. Sie verarbeiten Gesundheitsdaten, SMS-Daten und Benutzerkonten. Die meisten sind derzeit anfällig für Datendiebstahl und Clickjacking.
