סרקתי 5 אפליקציות אמיתיות עם סורק אבטחה
בניתי את VibeSafe כדי לסרוק קוד שנוצר על ידי AI. בדקתי אותו על 5 אפליקציות אמיתיות מתוך ה-Vibe Coding Showcase.
התוצאות גרועות.
לכל 5 האפליקציות היו בעיות אבטחה. לאף אחת מהן לא הייתה Content Security Policy. מצאתי 33 בעיות בסך הכל.
הפירוט:
- 6 בעיות קריטיות (Critical)
- 9 בעיות חמורות (High)
- 18 בעיות בינוניות (Medium)
הנה מה שמצאתי באפליקציות:
אפליקציה 1: פלטפורמת בריאות אימהות האפליקציה הזו מדליפה נתונים.
- קבצי
.envהם ציבוריים. כל אחד יכול לקחת את פרטי ההתחברות שלך. - תיקיית
.gitחשופה. כל אחד יכול להוריד את כל היסטוריית הקוד שלך. - אין הגנת XSS.
- אין הגבלת קצב (rate limiting) בכניסה.
אפליקציה 2: פלטפורמת נאמנות ב-SMS היא עוקבת אחרי אותו דפוס כמו אפליקציה 1.
- קבצי
.envציבוריים. - תיקיית
.gitציבורית. - אין כותרות אבטחה (security headers).
- אין הגנה על אימות (auth protection).
אפליקציה 3: פלטפורמת SaaS נבנתה על ידי CTO מנוסה, אך עדיין היו בה פרצות.
- תיקיית
.gitדלפה. - תיקיות המטמון (cache) של Python היו ציבוריות.
- אין הגנת XSS.
אפליקציה 4: אפליקציית הורות זו הייתה הטובה ביותר בקבוצה, אך עדיין מסוכנת.
- קבצי SSL ו-
.envהיו בטוחים. - אין הגנת XSS.
- אין הגבלת קצב (rate limiting) בהתחברות. זה מאפשר מתקפות brute-force.
אפליקציה 5: מוצר Netlify
- תעודת ה-SSL אינה תקפה.
- דפדפנים חוסמים את האתר הזה בגלל חוסר בטיחות.
סיכום סיכונים נפוצים:
- ללא Content Security Policy: 100% מהאפליקציות
- ללא X-Frame-Options: 100% מהאפליקציות
- ללא הגבלת קצב (rate limiting): 80% מהאפליקציות
- קבצי
.envאו.gitחשופים: 60% מהאפליקציות
ניתן לתקן 90% מהבעיות הללו תוך 15 דקות.
איך לתקן אותן:
- הוספת Content-Security-Policy: דקה אחת
- הוספת X-Frame-Options: דקה אחת
- הוספת HSTS: דקה אחת
- חסימת קבצי
.envו-.git: דקה אחת - הוספת middleware להגבלת קצב (rate limiting): 10 דקות
אלו אינן ניסויים קטנים. אלו מוצרים חיים עם משתמשים אמיתיים. הם מטפלים בנתוני בריאות, נתוני SMS וחשבונות משתמשים. רובם פגיעים כעת לגניבת נתונים ו-clickjacking.
