סרקתי 5 אפליקציות אמיתיות עם סורק אבטחה

בניתי את VibeSafe כדי לסרוק קוד שנוצר על ידי AI. בדקתי אותו על 5 אפליקציות אמיתיות מתוך ה-Vibe Coding Showcase.

התוצאות גרועות.

לכל 5 האפליקציות היו בעיות אבטחה. לאף אחת מהן לא הייתה Content Security Policy. מצאתי 33 בעיות בסך הכל.

הפירוט:

  • 6 בעיות קריטיות (Critical)
  • 9 בעיות חמורות (High)
  • 18 בעיות בינוניות (Medium)

הנה מה שמצאתי באפליקציות:

אפליקציה 1: פלטפורמת בריאות אימהות האפליקציה הזו מדליפה נתונים.

  • קבצי .env הם ציבוריים. כל אחד יכול לקחת את פרטי ההתחברות שלך.
  • תיקיית .git חשופה. כל אחד יכול להוריד את כל היסטוריית הקוד שלך.
  • אין הגנת XSS.
  • אין הגבלת קצב (rate limiting) בכניסה.

אפליקציה 2: פלטפורמת נאמנות ב-SMS היא עוקבת אחרי אותו דפוס כמו אפליקציה 1.

  • קבצי .env ציבוריים.
  • תיקיית .git ציבורית.
  • אין כותרות אבטחה (security headers).
  • אין הגנה על אימות (auth protection).

אפליקציה 3: פלטפורמת SaaS נבנתה על ידי CTO מנוסה, אך עדיין היו בה פרצות.

  • תיקיית .git דלפה.
  • תיקיות המטמון (cache) של Python היו ציבוריות.
  • אין הגנת XSS.

אפליקציה 4: אפליקציית הורות זו הייתה הטובה ביותר בקבוצה, אך עדיין מסוכנת.

  • קבצי SSL ו-.env היו בטוחים.
  • אין הגנת XSS.
  • אין הגבלת קצב (rate limiting) בהתחברות. זה מאפשר מתקפות brute-force.

אפליקציה 5: מוצר Netlify

  • תעודת ה-SSL אינה תקפה.
  • דפדפנים חוסמים את האתר הזה בגלל חוסר בטיחות.

סיכום סיכונים נפוצים:

  • ללא Content Security Policy: 100% מהאפליקציות
  • ללא X-Frame-Options: 100% מהאפליקציות
  • ללא הגבלת קצב (rate limiting): 80% מהאפליקציות
  • קבצי .env או .git חשופים: 60% מהאפליקציות

ניתן לתקן 90% מהבעיות הללו תוך 15 דקות.

איך לתקן אותן:

  • הוספת Content-Security-Policy: דקה אחת
  • הוספת X-Frame-Options: דקה אחת
  • הוספת HSTS: דקה אחת
  • חסימת קבצי .env ו-.git: דקה אחת
  • הוספת middleware להגבלת קצב (rate limiting): 10 דקות

אלו אינן ניסויים קטנים. אלו מוצרים חיים עם משתמשים אמיתיים. הם מטפלים בנתוני בריאות, נתוני SMS וחשבונות משתמשים. רובם פגיעים כעת לגניבת נתונים ו-clickjacking.

מקור: https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04