ನಾನು ಸೆಕ್ಯೂರಿಟಿ ಸ್ಕ್ಯಾನರ್ ಬಳಸಿ 5 ನೈಜ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಿದೆ
AI-ಸೃಷ್ಟಿತ ಕೋಡ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ನಾನು VibeSafe ಅನ್ನು ನಿರ್ಮಿಸಿದೆ. ನಾನು ಇದನ್ನು Vibe Coding Showcase ನ 5 ನೈಜ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ಪರೀಕ್ಷಿಸಿದೆ.
ಫಲಿತಾಂಶಗಳು ಕೆಟ್ಟದಾಗಿವೆ.
ಎಲ್ಲಾ 5 ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಸೆಕ್ಯೂರಿಟಿ ಸಮಸ್ಯೆಗಳಿದ್ದವು. ಯಾವುದೇ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ Content Security Policy ಇರಲಿಲ್ಲ. ನಾನು ಒಟ್ಟು 33 ಸಮಸ್ಯೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಿದೆ.
ವಿವರಣೆ:
- 6 ಗಂಭೀರ (Critical) ಸಮಸ್ಯೆಗಳು
- 9 ಹೆಚ್ಚಿನ (High) ಮಟ್ಟದ ಸಮಸ್ಯೆಗಳು
- 18 ಮಧ್ಯಮ (Medium) ಮಟ್ಟದ ಸಮಸ್ಯೆಗಳು
ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ನಾನು ಕಂಡುಕೊಂಡವುಗಳು ಇಲ್ಲಿವೆ:
ಅಪ್ಲಿಕೇಶನ್ 1: Maternal health platform ಈ ಅಪ್ಲಿಕೇಶನ್ ಡೇಟಾವನ್ನು ಸೋರಿಕೆ ಮಾಡುತ್ತದೆ.
- .env ಫೈಲ್ಗಳು ಸಾರ್ವಜನಿಕವಾಗಿವೆ. ಯಾರೇ ಆಗಲಿ ನಿಮ್ಮ ಕ್ರೆಡೆನ್ಶಿಯಲ್ಸ್ಗಳನ್ನು (credentials) ಪಡೆಯಬಹುದು.
- .git ಫೋಲ್ಡರ್ ಬಹಿರಂಗವಾಗಿದೆ. ಯಾರೇ ಆಗಲಿ ನಿಮ್ಮ ಸಂಪೂರ್ಣ ಕೋಡ್ ಇತಿಹಾಸವನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಬಹುದು.
- ಯಾವುದೇ XSS ರಕ್ಷಣೆ ಇಲ್ಲ.
- ಲಾಗಿನ್ನಲ್ಲಿ ಯಾವುದೇ ರೇಟ್ ಲಿಮಿಟಿಂಗ್ (rate limiting) ಇಲ್ಲ.
ಅಪ್ಲಿಕೇಶನ್ 2: SMS loyalty platform ಇದು ಅಪ್ಲಿಕೇಶನ್ 1 ರಂತೆಯೇ ಮಾದರಿಯನ್ನು ಅನುಸರಿಸುತ್ತದೆ.
- ಸಾರ್ವಜನಿಕ .env ಫೈಲ್ಗಳು.
- ಸಾರ್ವಜನಿಕ .git ಫೋಲ್ಡರ್.
- ಯಾವುದೇ ಸೆಕ್ಯೂರಿಟಿ ಹೆಡರ್ಸ್ಗಳಿಲ್ಲ.
- ಯಾವುದೇ ಆಥ್ (auth) ರಕ್ಷಣೆ ಇಲ್ಲ.
ಅಪ್ಲಿಕೇಶನ್ 3: SaaS platform ಅನುಭವಿ CTO ನಿಂದ ನಿರ್ಮಿಸಲಾಗಿದೆ, ಆದರೂ ಇದರಲ್ಲಿ ಲೋಪದೋಷಗಳಿದ್ದವು.
- .git ಫೋಲ್ಡರ್ ಸೋರಿಕೆಯಾಗಿತ್ತು.
- Python ಕ್ಯಾಶ್ ಡೈರೆಕ್ಟರಿಗಳು ಸಾರ್ವಜನಿಕವಾಗಿದ್ದವು.
- ಯಾವುದೇ XSS ರಕ್ಷಣೆ ಇಲ್ಲ.
ಅಪ್ಲಿಕೇಶನ್ 4: Parenting app ಇದು ಗುಂಪಿನಲ್ಲಿ ಅತ್ಯುತ್ತಮವಾಗಿತ್ತು, ಆದರೆ ಇನ್ನೂ ಅಪಾಯಕಾರಿಯಾಗಿದೆ.
- SSL ಮತ್ತು .env ಫೈಲ್ಗಳು ಸುರಕ್ಷಿತವಾಗಿದ್ದವು.
- ಯಾವುದೇ XSS ರಕ್ಷಣೆ ಇಲ್ಲ.
- ಸೈನ್-ಇನ್ನಲ್ಲಿ ಯಾವುದೇ ರೇಟ್ ಲಿಮಿಟಿಂಗ್ ಇಲ್ಲ. ಇದು ಬ್ರೂಟ್-ಫೋರ್ಸ್ (brute-force) ದಾಳಿಗಳಿಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಡುತ್ತದೆ.
ಅಪ್ಲಿಕೇಶನ್ 5: Netlify product
- SSL ಪ್ರಮಾಣಪತ್ರವು ಅಮಾನ್ಯವಾಗಿದೆ.
- ಅಸುರಕ್ಷಿತ ಎಂಬ ಕಾರಣಕ್ಕೆ ಬ್ರೌಸರ್ಗಳು ಈ ಸೈಟ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತವೆ.
ಸಾಮಾನ್ಯ ಅಪಾಯಗಳ ಸಾರಾಂಶ:
- Content Security Policy ಇಲ್ಲ: 100% ಅಪ್ಲಿಕೇಶನ್ಗಳು
- X-Frame-Options ಇಲ್ಲ: 100% ಅಪ್ಲಿಕೇಶನ್ಗಳು
- ರೇಟ್ ಲಿಮಿಟಿಂಗ್ ಇಲ್ಲ: 80% ಅಪ್ಲಿಕೇಶನ್ಗಳು
- ಬಹಿರಂಗಗೊಂಡ .env ಅಥವಾ .git ಫೈಲ್ಗಳು: 60% ಅಪ್ಲಿಕೇಶನ್ಗಳು
ನೀವು ಈ ಸಮಸ್ಯೆಗಳಲ್ಲಿ 90% ಅನ್ನು 15 ನಿಮಿಷಗಳಲ್ಲಿ ಸರಿಪಡಿಸಬಹುದು.
ಅವುಗಳನ್ನು ಸರಿಪಡಿಸುವುದು ಹೇಗೆ:
- Content-Security-Policy ಅನ್ನು ಸೇರಿಸಿ: 1 ನಿಮಿಷ
- X-Frame-Options ಅನ್ನು ಸೇರಿಸಿ: 1 ನಿಮಿಷ
- HSTS ಅನ್ನು ಸೇರಿಸಿ: 1 ನಿಮಿಷ
- .env ಮತ್ತು .git ಫೈಲ್ಗಳನ್ನು ನಿರ್ಬಂಧಿಸಿ: 1 ನಿಮಿಷ
- ರೇಟ್ ಲಿಮಿಟಿಂಗ್ ಮಿಡ್ಲ್ವೇರ್ (middleware) ಅನ್ನು ಸೇರಿಸಿ: 10 ನಿಮಿಷಗಳು
ಇವು ಸಣ್ಣ ಪ್ರಯೋಗಗಳಲ್ಲ. ಇವು ನೈಜ ಬಳಕೆದಾರರನ್ನು ಹೊಂದಿರುವ ಲೈವ್ ಉತ್ಪನ್ನಗಳು. ಇವು ಆರೋಗ್ಯ ಡೇಟಾ, SMS ಡೇಟಾ ಮತ್ತು ಬಳಕೆದಾರರ ಖಾತೆಗಳನ್ನು ನಿರ್ವಹಿಸುತ್ತವೆ. ಹೆಚ್ಚಿನವುಗಳು ಪ್ರಸ್ತುತ ಡೇಟಾ ಕಳ್ಳತನ ಮತ್ತು ಕ್ಲಿಕ್ಜ್ಯಾಕಿಂಗ್ಗೆ (clickjacking) ತುತ್ತಾಗುವ ಸಾಧ್ಯತೆಯಿದೆ.
