મેં સિક્યુરિટી સ્કેનર વડે 5 વાસ્તવિક એપ્સ સ્કેન કરી
મેં AI-જનરેટેડ કોડ સ્કેન કરવા માટે VibeSafe બનાવ્યું છે. મેં તેને Vibe Coding Showcase માંથી 5 વાસ્તવિક એપ્સ પર ટેસ્ટ કર્યું.
પરિણામો ખરાબ છે.
પાંચેય એપ્સમાં સિક્યુરિટીની સમસ્યાઓ હતી. એક પણ એપમાં Content Security Policy નહોતી. મને કુલ 33 સમસ્યાઓ મળી.
વિગતવાર માહિતી:
- 6 ગંભીર (Critical) સમસ્યાઓ
- 9 ઉચ્ચ (High) સમસ્યાઓ
- 18 મધ્યમ (Medium) સમસ્યાઓ
મને એપ્સમાં જે મળ્યું તે અહીં છે:
એપ 1: માતૃત્વ સ્વાસ્થ્ય પ્લેટફોર્મ (Maternal health platform) આ એપ ડેટા લીક કરે છે.
- .env ફાઇલો પબ્લિક છે. કોઈપણ વ્યક્તિ તમારી ક્રેડેન્શિયલ્સ (credentials) લઈ શકે છે.
- .git ફોલ્ડર ખુલ્લું (exposed) છે. કોઈપણ વ્યક્તિ તમારા કોડનો સંપૂર્ણ ઇતિહાસ ડાઉનલોડ કરી શકે છે.
- XSS પ્રોટેક્શન નથી.
- લોગિન પર રેટ લિમિટિંગ (rate limiting) નથી.
એપ 2: SMS લોયલ્ટી પ્લેટફોર્મ આ એપ પણ એપ 1 જેવી જ પેટર્ન અનુસરે છે.
- પબ્લિક .env ફાઇલો.
- પબ્લિક .git ફોલ્ડર.
- સિક્યુરિટી હેડર્સ નથી.
- ઓથ (auth) પ્રોટેક્શન નથી.
એપ 3: SaaS પ્લેટફોર્મ અનુભવી CTO દ્વારા બનાવવામાં આવ્યું હોવા છતાં, તેમાં ખામીઓ હતી.
- .git ફોલ્ડર લીક થયું હતું.
- Python કેશ ડિરેક્ટરીઓ પબ્લિક હતી.
- XSS પ્રોટેક્શન નથી.
એપ 4: પેરેન્ટિંગ એપ આ ગ્રુપમાં સૌથી શ્રેષ્ઠ હતી, પરંતુ તેમ છતાં જોખમી હતી.
- SSL અને .env ફાઇલો સુરક્ષિત હતી.
- XSS પ્રોટેક્શન નથી.
- સાઇન-ઇન પર રેટ લિમિટિંગ નથી. આ બ્રુટ-ફોર્સ (brute-force) હુમલાઓની મંજૂરી આપે છે.
એપ 5: Netlify પ્રોડક્ટ
- SSL સર્ટિફિકેટ અમાન્ય (invalid) છે.
- બ્રાઉઝર્સ આ સાઇટને અસુરક્ષિત હોવાને કારણે બ્લોક કરે છે.
સામાન્ય જોખમોનો સારાંશ:
- Content Security Policy નથી: 100% એપ્સ
- X-Frame-Options નથી: 100% એપ્સ
- રેટ લિમિટિંગ નથી: 80% એપ્સ
- .env અથવા .git ફાઇલો ખુલ્લી છે: 60% એપ્સ
તમે આ સમસ્યાઓમાંથી 90% સમસ્યાઓ 15 મિનિટમાં ઠીક કરી શકો છો.
તેને કેવી રીતે ઠીક કરવું:
- Content-Security-Policy ઉમેરો: 1 મિનિટ
- X-Frame-Options ઉમેરો: 1 મિનિટ
- HSTS ઉમેરો: 1 મિનિટ
- .env અને .git ફાઇલો બ્લોક કરો: 1 મિનિટ
- રેટ લિમિટિંગ મિડલવેર (middleware) ઉમેરો: 10 મિનિટ
આ કોઈ નાના પ્રયોગો નથી. આ વાસ્તવિક વપરાશકર્તાઓ સાથેના લાઈવ પ્રોડક્ટ્સ છે. તેઓ હેલ્થ ડેટા, SMS ડેટા અને યુઝર એકાઉન્ટ્સ સંભાળે છે. મોટાભાગના હાલમાં ડેટા ચોરી અને ક્લિકજેકિંગ (clickjacking) માટે સંવેદનશીલ છે.
