ഞാൻ ഒരു സെക്യൂരിറ്റി സ്കാനർ ഉപയോഗിച്ച് 5 യഥാർത്ഥ ആപ്പുകൾ പരിശോധിച്ചു
AI നിർമ്മിത കോഡുകൾ സ്കാൻ ചെയ്യുന്നതിനായി ഞാൻ VibeSafe നിർമ്മിച്ചു. Vibe Coding Showcase-ലെ 5 യഥാർത്ഥ ആപ്പുകളിൽ ഞാൻ ഇത് പരീക്ഷിച്ചു.
ഫലങ്ങൾ മോശമാണ്.
അഞ്ച് ആപ്പുകളിലും സുരക്ഷാ പ്രശ്നങ്ങളുണ്ടായിരുന്നു. ഒരു ആപ്പിലും Content Security Policy ഉണ്ടായിരുന്നില്ല. ആകെ 33 പ്രശ്നങ്ങളാണ് ഞാൻ കണ്ടെത്തിയത്.
വിശദാംശങ്ങൾ:
- 6 ഗുരുതരമായ (Critical) പ്രശ്നങ്ങൾ
- 9 ഉയർന്ന (High) നിലവാരത്തിലുള്ള പ്രശ്നങ്ങൾ
- 18 ഇടത്തരം (Medium) പ്രശ്നങ്ങൾ
ആപ്പുകളിൽ ഞാൻ കണ്ടെത്തിയ കാര്യങ്ങൾ ഇതാ:
ആപ്പ് 1: മാതൃ ആരോഗ്യ പ്ലാറ്റ്ഫോം (Maternal health platform) ഈ ആപ്പ് ഡാറ്റ ചോർത്തുന്നു.
- .env ഫയലുകൾ പരസ്യമാണ്. ആർക്കും നിങ്ങളുടെ ക്രെഡൻഷ്യലുകൾ (credentials) എടുക്കാം.
- .git ഫോൾഡർ പുറത്തുകാണാൻ സാധിക്കും. ആർക്കും നിങ്ങളുടെ മുഴുവൻ കോഡ് ചരിത്രവും ഡൗൺലോഡ് ചെയ്യാം.
- XSS സംരക്ഷണമില്ല.
- ലോഗിൻ ചെയ്യുമ്പോൾ റേറ്റ് ലിമിറ്റിംഗ് (rate limiting) ഇല്ല.
ആപ്പ് 2: SMS ലോയൽറ്റി പ്ലാറ്റ്ഫോം ഇത് ആപ്പ് 1-ന്റെ അതേ രീതി പിന്തുടരുന്നു.
- പരസ്യമായ .env ഫയലുകൾ.
- പരസ്യമായ .git ഫോൾഡർ.
- സുരക്ഷാ ഹെഡറുകൾ (security headers) ഇല്ല.
- ഓതന്റിക്കേഷൻ (auth) സംരക്ഷണമില്ല.
ആപ്പ് 3: SaaS പ്ലാറ്റ്ഫോം പരിചയസമ്പന്നനായ ഒരു CTO നിർമ്മിച്ചതാണെങ്കിലും ഇതിലും സുരക്ഷാ വീഴ്ചകളുണ്ട്.
- .git ഫോൾഡർ ചോർന്നുപോയി.
- Python കാഷെ ഡയറക്ടറികൾ (cache directories) പരസ്യമാണ്.
- XSS സംരക്ഷണമില്ല.
ആപ്പ് 4: പാരന്റിംഗ് ആപ്പ് ഈ ഗ്രൂപ്പിലെ ഏറ്റവും മികച്ചതായിരുന്നു ഇത്, എങ്കിലും ഇപ്പോഴും അപകടസാധ്യതയുണ്ട്.
- SSL, .env ഫയലുകൾ സുരക്ഷിതമാണ്.
- XSS സംരക്ഷണമില്ല.
- സൈൻ-ഇൻ ചെയ്യുമ്പോൾ റേറ്റ് ലിമിറ്റിംഗ് ഇല്ല. ഇത് ബ്രൂട്ട്-ഫോഴ്സ് (brute-force) ആക്രമണങ്ങൾക്ക് വഴിയൊരുക്കുന്നു.
ആപ്പ് 5: Netlify ഉൽപ്പന്നം
- SSL സർട്ടിഫിക്കറ്റ് അസാധുവാണ്.
- സുരക്ഷിതമല്ലാത്തതിനാൽ ബ്രൗസറുകൾ ഈ സൈറ്റ് ബ്ലോക്ക് ചെയ്യുന്നു.
പൊതുവായ അപകടസാധ്യതകളുടെ സംഗ്രഹം:
- Content Security Policy ഇല്ല: 100% ആപ്പുകൾ
- X-Frame-Options ഇല്ല: 100% ആപ്പുകൾ
- റേറ്റ് ലിമിറ്റിംഗ് ഇല്ല: 80% ആപ്പുകൾ
- .env അല്ലെങ്കിൽ .git ഫയലുകൾ പുറത്തുകാണാൻ സാധിക്കുന്നു: 60% ആപ്പുകൾ
ഈ പ്രശ്നങ്ങളിൽ 90 ശതമാനവും നിങ്ങൾക്ക് 15 മിനിറ്റിനുള്ളിൽ പരിഹരിക്കാം.
അവ എങ്ങനെ പരിഹരിക്കാം:
- Content-Security-Policy ചേർക്കുക: 1 മിനിറ്റ്
- X-Frame-Options ചേർക്കുക: 1 മിനിറ്റ്
- HSTS ചേർക്കുക: 1 മിനിറ്റ്
- .env, .git ഫയലുകൾ ബ്ലോക്ക് ചെയ്യുക: 1 മിനിറ്റ്
- റേറ്റ് ലിമിറ്റിംഗ് മിഡിൽവെയർ (rate limiting middleware) ചേർക്കുക: 10 മിനിറ്റ്
ഇവ ചെറിയ പരീക്ഷണങ്ങളല്ല. യഥാർത്ഥ ഉപയോക്താക്കളുള്ള ലൈവ് ഉൽപ്പന്നങ്ങളാണിവ. ഇവ ആരോഗ്യ വിവരങ്ങൾ, SMS വിവരങ്ങൾ, ഉപയോക്താക്കളുടെ അക്കൗണ്ടുകൾ എന്നിവ കൈകാര്യം ചെയ്യുന്നു. ഇവയിൽ ഭൂരിഭാഗവും നിലവിൽ ഡാറ്റാ മോഷണത്തിനും ക്ലിക്ക്ജാക്കിംഗിനും (clickjacking) ഇരയാകാൻ സാധ്യതയുള്ളവയാണ്.
