Saya Memindai 5 Aplikasi Nyata dengan Pemindai Keamanan
Saya membangun VibeSafe untuk memindai kode yang dihasilkan AI. Saya mengujinya pada 5 aplikasi nyata dari Vibe Coding Showcase.
Hasilnya buruk.
Kelima aplikasi tersebut memiliki masalah keamanan. Tidak ada satu pun aplikasi yang memiliki Content Security Policy. Saya menemukan total 33 masalah.
Rinciannya:
- 6 masalah Kritis
- 9 masalah Tinggi
- 18 masalah Menengah
Berikut adalah apa yang saya temukan di aplikasi-aplikasi tersebut:
Aplikasi 1: Platform kesehatan ibu Aplikasi ini membocorkan data.
- File .env bersifat publik. Siapa pun dapat mengambil kredensial Anda.
- Folder .git terekspos. Siapa pun dapat mengunduh seluruh riwayat kode Anda.
- Tidak ada perlindungan XSS.
- Tidak ada rate limiting pada login.
Aplikasi 2: Platform loyalitas SMS Ini mengikuti pola yang sama dengan Aplikasi 1.
- File .env bersifat publik.
- Folder .git bersifat publik.
- Tidak ada header keamanan.
- Tidak ada perlindungan autentikasi.
Aplikasi 3: Platform SaaS Dibangun oleh CTO berpengalaman, namun tetap memiliki celah.
- Folder .git bocor.
- Direktori cache Python bersifat publik.
- Tidak ada perlindungan XSS.
Aplikasi 4: Aplikasi parenting Ini adalah yang terbaik di grup ini, namun tetap berisiko.
- SSL dan file .env aman.
- Tidak ada perlindungan XSS.
- Tidak ada rate limiting pada sign-in. Ini memungkinkan serangan brute-force.
Aplikasi 5: Produk Netlify
- Sertifikat SSL tidak valid.
- Browser memblokir situs ini karena dianggap tidak aman.
Ringkasan risiko umum:
- Tidak ada Content Security Policy: 100% aplikasi
- Tidak ada X-Frame-Options: 100% aplikasi
- Tidak ada rate limiting: 80% aplikasi
- File .env atau .git terekspos: 60% aplikasi
Anda dapat memperbaiki 90% dari masalah ini dalam 15 menit.
Cara memperbaikinya:
- Tambahkan Content-Security-Policy: 1 menit
- Tambahkan X-Frame-Options: 1 menit
- Tambahkan HSTS: 1 menit
- Blokir file .env dan .git: 1 menit
- Tambahkan middleware rate limiting: 10 menit
Ini bukan eksperimen kecil. Ini adalah produk aktif dengan pengguna nyata. Mereka menangani data kesehatan, data SMS, dan akun pengguna. Sebagian besar saat ini rentan terhadap pencurian data dan clickjacking.
