ನಾನು ಸೆಕ್ಯೂರಿಟಿ ಸ್ಕ್ಯಾನರ್ ಬಳಸಿ 5 ನೈಜ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಿದೆ

AI-ಸೃಷ್ಟಿತ ಕೋಡ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ನಾನು VibeSafe ಅನ್ನು ನಿರ್ಮಿಸಿದೆ. ನಾನು ಇದನ್ನು Vibe Coding Showcase ನ 5 ನೈಜ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಮೇಲೆ ಪರೀಕ್ಷಿಸಿದೆ.

ಫಲಿತಾಂಶಗಳು ಕೆಟ್ಟದಾಗಿವೆ.

ಎಲ್ಲಾ 5 ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಸೆಕ್ಯೂರಿಟಿ ಸಮಸ್ಯೆಗಳಿದ್ದವು. ಯಾವುದೇ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ Content Security Policy ಇರಲಿಲ್ಲ. ನಾನು ಒಟ್ಟು 33 ಸಮಸ್ಯೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಿದೆ.

ವಿವರಣೆ:

  • 6 ಗಂಭೀರ (Critical) ಸಮಸ್ಯೆಗಳು
  • 9 ಹೆಚ್ಚಿನ (High) ಮಟ್ಟದ ಸಮಸ್ಯೆಗಳು
  • 18 ಮಧ್ಯಮ (Medium) ಮಟ್ಟದ ಸಮಸ್ಯೆಗಳು

ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ನಾನು ಕಂಡುಕೊಂಡವುಗಳು ಇಲ್ಲಿವೆ:

ಅಪ್ಲಿಕೇಶನ್ 1: Maternal health platform ಈ ಅಪ್ಲಿಕೇಶನ್ ಡೇಟಾವನ್ನು ಸೋರಿಕೆ ಮಾಡುತ್ತದೆ.

  • .env ಫೈಲ್‌ಗಳು ಸಾರ್ವಜನಿಕವಾಗಿವೆ. ಯಾರೇ ಆಗಲಿ ನಿಮ್ಮ ಕ್ರೆಡೆನ್ಶಿಯಲ್ಸ್‌ಗಳನ್ನು (credentials) ಪಡೆಯಬಹುದು.
  • .git ಫೋಲ್ಡರ್ ಬಹಿರಂಗವಾಗಿದೆ. ಯಾರೇ ಆಗಲಿ ನಿಮ್ಮ ಸಂಪೂರ್ಣ ಕೋಡ್ ಇತಿಹಾಸವನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಬಹುದು.
  • ಯಾವುದೇ XSS ರಕ್ಷಣೆ ಇಲ್ಲ.
  • ಲಾಗಿನ್‌ನಲ್ಲಿ ಯಾವುದೇ ರೇಟ್ ಲಿಮಿಟಿಂಗ್ (rate limiting) ಇಲ್ಲ.

ಅಪ್ಲಿಕೇಶನ್ 2: SMS loyalty platform ಇದು ಅಪ್ಲಿಕೇಶನ್ 1 ರಂತೆಯೇ ಮಾದರಿಯನ್ನು ಅನುಸರಿಸುತ್ತದೆ.

  • ಸಾರ್ವಜನಿಕ .env ಫೈಲ್‌ಗಳು.
  • ಸಾರ್ವಜನಿಕ .git ಫೋಲ್ಡರ್.
  • ಯಾವುದೇ ಸೆಕ್ಯೂರಿಟಿ ಹೆಡರ್ಸ್‌ಗಳಿಲ್ಲ.
  • ಯಾವುದೇ ಆಥ್ (auth) ರಕ್ಷಣೆ ಇಲ್ಲ.

ಅಪ್ಲಿಕೇಶನ್ 3: SaaS platform ಅನುಭವಿ CTO ನಿಂದ ನಿರ್ಮಿಸಲಾಗಿದೆ, ಆದರೂ ಇದರಲ್ಲಿ ಲೋಪದೋಷಗಳಿದ್ದವು.

  • .git ಫೋಲ್ಡರ್ ಸೋರಿಕೆಯಾಗಿತ್ತು.
  • Python ಕ್ಯಾಶ್ ಡೈರೆಕ್ಟರಿಗಳು ಸಾರ್ವಜನಿಕವಾಗಿದ್ದವು.
  • ಯಾವುದೇ XSS ರಕ್ಷಣೆ ಇಲ್ಲ.

ಅಪ್ಲಿಕೇಶನ್ 4: Parenting app ಇದು ಗುಂಪಿನಲ್ಲಿ ಅತ್ಯುತ್ತಮವಾಗಿತ್ತು, ಆದರೆ ಇನ್ನೂ ಅಪಾಯಕಾರಿಯಾಗಿದೆ.

  • SSL ಮತ್ತು .env ಫೈಲ್‌ಗಳು ಸುರಕ್ಷಿತವಾಗಿದ್ದವು.
  • ಯಾವುದೇ XSS ರಕ್ಷಣೆ ಇಲ್ಲ.
  • ಸೈನ್-ಇನ್‌ನಲ್ಲಿ ಯಾವುದೇ ರೇಟ್ ಲಿಮಿಟಿಂಗ್ ಇಲ್ಲ. ಇದು ಬ್ರೂಟ್-ಫೋರ್ಸ್ (brute-force) ದಾಳಿಗಳಿಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಡುತ್ತದೆ.

ಅಪ್ಲಿಕೇಶನ್ 5: Netlify product

  • SSL ಪ್ರಮಾಣಪತ್ರವು ಅಮಾನ್ಯವಾಗಿದೆ.
  • ಅಸುರಕ್ಷಿತ ಎಂಬ ಕಾರಣಕ್ಕೆ ಬ್ರೌಸರ್‌ಗಳು ಈ ಸೈಟ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತವೆ.

ಸಾಮಾನ್ಯ ಅಪಾಯಗಳ ಸಾರಾಂಶ:

  • Content Security Policy ಇಲ್ಲ: 100% ಅಪ್ಲಿಕೇಶನ್‌ಗಳು
  • X-Frame-Options ಇಲ್ಲ: 100% ಅಪ್ಲಿಕೇಶನ್‌ಗಳು
  • ರೇಟ್ ಲಿಮಿಟಿಂಗ್ ಇಲ್ಲ: 80% ಅಪ್ಲಿಕೇಶನ್‌ಗಳು
  • ಬಹಿರಂಗಗೊಂಡ .env ಅಥವಾ .git ಫೈಲ್‌ಗಳು: 60% ಅಪ್ಲಿಕೇಶನ್‌ಗಳು

ನೀವು ಈ ಸಮಸ್ಯೆಗಳಲ್ಲಿ 90% ಅನ್ನು 15 ನಿಮಿಷಗಳಲ್ಲಿ ಸರಿಪಡಿಸಬಹುದು.

ಅವುಗಳನ್ನು ಸರಿಪಡಿಸುವುದು ಹೇಗೆ:

  • Content-Security-Policy ಅನ್ನು ಸೇರಿಸಿ: 1 ನಿಮಿಷ
  • X-Frame-Options ಅನ್ನು ಸೇರಿಸಿ: 1 ನಿಮಿಷ
  • HSTS ಅನ್ನು ಸೇರಿಸಿ: 1 ನಿಮಿಷ
  • .env ಮತ್ತು .git ಫೈಲ್‌ಗಳನ್ನು ನಿರ್ಬಂಧಿಸಿ: 1 ನಿಮಿಷ
  • ರೇಟ್ ಲಿಮಿಟಿಂಗ್ ಮಿಡ್ಲ್‌ವೇರ್ (middleware) ಅನ್ನು ಸೇರಿಸಿ: 10 ನಿಮಿಷಗಳು

ಇವು ಸಣ್ಣ ಪ್ರಯೋಗಗಳಲ್ಲ. ಇವು ನೈಜ ಬಳಕೆದಾರರನ್ನು ಹೊಂದಿರುವ ಲೈವ್ ಉತ್ಪನ್ನಗಳು. ಇವು ಆರೋಗ್ಯ ಡೇಟಾ, SMS ಡೇಟಾ ಮತ್ತು ಬಳಕೆದಾರರ ಖಾತೆಗಳನ್ನು ನಿರ್ವಹಿಸುತ್ತವೆ. ಹೆಚ್ಚಿನವುಗಳು ಪ್ರಸ್ತುತ ಡೇಟಾ ಕಳ್ಳತನ ಮತ್ತು ಕ್ಲಿಕ್‌ಜ್ಯಾಕಿಂಗ್‌ಗೆ (clickjacking) ತುತ್ತಾಗುವ ಸಾಧ್ಯತೆಯಿದೆ.

ಮೂಲ: https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04