મેં સિક્યુરિટી સ્કેનર વડે 5 વાસ્તવિક એપ્સ સ્કેન કરી

મેં AI-જનરેટેડ કોડ સ્કેન કરવા માટે VibeSafe બનાવ્યું છે. મેં તેને Vibe Coding Showcase માંથી 5 વાસ્તવિક એપ્સ પર ટેસ્ટ કર્યું.

પરિણામો ખરાબ છે.

પાંચેય એપ્સમાં સિક્યુરિટીની સમસ્યાઓ હતી. એક પણ એપમાં Content Security Policy નહોતી. મને કુલ 33 સમસ્યાઓ મળી.

વિગતવાર માહિતી:

  • 6 ગંભીર (Critical) સમસ્યાઓ
  • 9 ઉચ્ચ (High) સમસ્યાઓ
  • 18 મધ્યમ (Medium) સમસ્યાઓ

મને એપ્સમાં જે મળ્યું તે અહીં છે:

એપ 1: માતૃત્વ સ્વાસ્થ્ય પ્લેટફોર્મ (Maternal health platform) આ એપ ડેટા લીક કરે છે.

  • .env ફાઇલો પબ્લિક છે. કોઈપણ વ્યક્તિ તમારી ક્રેડેન્શિયલ્સ (credentials) લઈ શકે છે.
  • .git ફોલ્ડર ખુલ્લું (exposed) છે. કોઈપણ વ્યક્તિ તમારા કોડનો સંપૂર્ણ ઇતિહાસ ડાઉનલોડ કરી શકે છે.
  • XSS પ્રોટેક્શન નથી.
  • લોગિન પર રેટ લિમિટિંગ (rate limiting) નથી.

એપ 2: SMS લોયલ્ટી પ્લેટફોર્મ આ એપ પણ એપ 1 જેવી જ પેટર્ન અનુસરે છે.

  • પબ્લિક .env ફાઇલો.
  • પબ્લિક .git ફોલ્ડર.
  • સિક્યુરિટી હેડર્સ નથી.
  • ઓથ (auth) પ્રોટેક્શન નથી.

એપ 3: SaaS પ્લેટફોર્મ અનુભવી CTO દ્વારા બનાવવામાં આવ્યું હોવા છતાં, તેમાં ખામીઓ હતી.

  • .git ફોલ્ડર લીક થયું હતું.
  • Python કેશ ડિરેક્ટરીઓ પબ્લિક હતી.
  • XSS પ્રોટેક્શન નથી.

એપ 4: પેરેન્ટિંગ એપ આ ગ્રુપમાં સૌથી શ્રેષ્ઠ હતી, પરંતુ તેમ છતાં જોખમી હતી.

  • SSL અને .env ફાઇલો સુરક્ષિત હતી.
  • XSS પ્રોટેક્શન નથી.
  • સાઇન-ઇન પર રેટ લિમિટિંગ નથી. આ બ્રુટ-ફોર્સ (brute-force) હુમલાઓની મંજૂરી આપે છે.

એપ 5: Netlify પ્રોડક્ટ

  • SSL સર્ટિફિકેટ અમાન્ય (invalid) છે.
  • બ્રાઉઝર્સ આ સાઇટને અસુરક્ષિત હોવાને કારણે બ્લોક કરે છે.

સામાન્ય જોખમોનો સારાંશ:

  • Content Security Policy નથી: 100% એપ્સ
  • X-Frame-Options નથી: 100% એપ્સ
  • રેટ લિમિટિંગ નથી: 80% એપ્સ
  • .env અથવા .git ફાઇલો ખુલ્લી છે: 60% એપ્સ

તમે આ સમસ્યાઓમાંથી 90% સમસ્યાઓ 15 મિનિટમાં ઠીક કરી શકો છો.

તેને કેવી રીતે ઠીક કરવું:

  • Content-Security-Policy ઉમેરો: 1 મિનિટ
  • X-Frame-Options ઉમેરો: 1 મિનિટ
  • HSTS ઉમેરો: 1 મિનિટ
  • .env અને .git ફાઇલો બ્લોક કરો: 1 મિનિટ
  • રેટ લિમિટિંગ મિડલવેર (middleware) ઉમેરો: 10 મિનિટ

આ કોઈ નાના પ્રયોગો નથી. આ વાસ્તવિક વપરાશકર્તાઓ સાથેના લાઈવ પ્રોડક્ટ્સ છે. તેઓ હેલ્થ ડેટા, SMS ડેટા અને યુઝર એકાઉન્ટ્સ સંભાળે છે. મોટાભાગના હાલમાં ડેટા ચોરી અને ક્લિકજેકિંગ (clickjacking) માટે સંવેદનશીલ છે.

સ્ત્રોત: https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04