ഞാൻ ഒരു സെക്യൂരിറ്റി സ്കാനർ ഉപയോഗിച്ച് 5 യഥാർത്ഥ ആപ്പുകൾ പരിശോധിച്ചു

AI നിർമ്മിത കോഡുകൾ സ്കാൻ ചെയ്യുന്നതിനായി ഞാൻ VibeSafe നിർമ്മിച്ചു. Vibe Coding Showcase-ലെ 5 യഥാർത്ഥ ആപ്പുകളിൽ ഞാൻ ഇത് പരീക്ഷിച്ചു.

ഫലങ്ങൾ മോശമാണ്.

അഞ്ച് ആപ്പുകളിലും സുരക്ഷാ പ്രശ്നങ്ങളുണ്ടായിരുന്നു. ഒരു ആപ്പിലും Content Security Policy ഉണ്ടായിരുന്നില്ല. ആകെ 33 പ്രശ്നങ്ങളാണ് ഞാൻ കണ്ടെത്തിയത്.

വിശദാംശങ്ങൾ:

  • 6 ഗുരുതരമായ (Critical) പ്രശ്നങ്ങൾ
  • 9 ഉയർന്ന (High) നിലവാരത്തിലുള്ള പ്രശ്നങ്ങൾ
  • 18 ഇടത്തരം (Medium) പ്രശ്നങ്ങൾ

ആപ്പുകളിൽ ഞാൻ കണ്ടെത്തിയ കാര്യങ്ങൾ ഇതാ:

ആപ്പ് 1: മാതൃ ആരോഗ്യ പ്ലാറ്റ്‌ഫോം (Maternal health platform) ഈ ആപ്പ് ഡാറ്റ ചോർത്തുന്നു.

  • .env ഫയലുകൾ പരസ്യമാണ്. ആർക്കും നിങ്ങളുടെ ക്രെഡൻഷ്യലുകൾ (credentials) എടുക്കാം.
  • .git ഫോൾഡർ പുറത്തുകാണാൻ സാധിക്കും. ആർക്കും നിങ്ങളുടെ മുഴുവൻ കോഡ് ചരിത്രവും ഡൗൺലോഡ് ചെയ്യാം.
  • XSS സംരക്ഷണമില്ല.
  • ലോഗിൻ ചെയ്യുമ്പോൾ റേറ്റ് ലിമിറ്റിംഗ് (rate limiting) ഇല്ല.

ആപ്പ് 2: SMS ലോയൽറ്റി പ്ലാറ്റ്‌ഫോം ഇത് ആപ്പ് 1-ന്റെ അതേ രീതി പിന്തുടരുന്നു.

  • പരസ്യമായ .env ഫയലുകൾ.
  • പരസ്യമായ .git ഫോൾഡർ.
  • സുരക്ഷാ ഹെഡറുകൾ (security headers) ഇല്ല.
  • ഓതന്റിക്കേഷൻ (auth) സംരക്ഷണമില്ല.

ആപ്പ് 3: SaaS പ്ലാറ്റ്‌ഫോം പരിചയസമ്പന്നനായ ഒരു CTO നിർമ്മിച്ചതാണെങ്കിലും ഇതിലും സുരക്ഷാ വീഴ്ചകളുണ്ട്.

  • .git ഫോൾഡർ ചോർന്നുപോയി.
  • Python കാഷെ ഡയറക്ടറികൾ (cache directories) പരസ്യമാണ്.
  • XSS സംരക്ഷണമില്ല.

ആപ്പ് 4: പാരന്റിംഗ് ആപ്പ് ഈ ഗ്രൂപ്പിലെ ഏറ്റവും മികച്ചതായിരുന്നു ഇത്, എങ്കിലും ഇപ്പോഴും അപകടസാധ്യതയുണ്ട്.

  • SSL, .env ഫയലുകൾ സുരക്ഷിതമാണ്.
  • XSS സംരക്ഷണമില്ല.
  • സൈൻ-ഇൻ ചെയ്യുമ്പോൾ റേറ്റ് ലിമിറ്റിംഗ് ഇല്ല. ഇത് ബ്രൂട്ട്-ഫോഴ്സ് (brute-force) ആക്രമണങ്ങൾക്ക് വഴിയൊരുക്കുന്നു.

ആപ്പ് 5: Netlify ഉൽപ്പന്നം

  • SSL സർട്ടിഫിക്കറ്റ് അസാധുവാണ്.
  • സുരക്ഷിതമല്ലാത്തതിനാൽ ബ്രൗസറുകൾ ഈ സൈറ്റ് ബ്ലോക്ക് ചെയ്യുന്നു.

പൊതുവായ അപകടസാധ്യതകളുടെ സംഗ്രഹം:

  • Content Security Policy ഇല്ല: 100% ആപ്പുകൾ
  • X-Frame-Options ഇല്ല: 100% ആപ്പുകൾ
  • റേറ്റ് ലിമിറ്റിംഗ് ഇല്ല: 80% ആപ്പുകൾ
  • .env അല്ലെങ്കിൽ .git ഫയലുകൾ പുറത്തുകാണാൻ സാധിക്കുന്നു: 60% ആപ്പുകൾ

ഈ പ്രശ്നങ്ങളിൽ 90 ശതമാനവും നിങ്ങൾക്ക് 15 മിനിറ്റിനുള്ളിൽ പരിഹരിക്കാം.

അവ എങ്ങനെ പരിഹരിക്കാം:

  • Content-Security-Policy ചേർക്കുക: 1 മിനിറ്റ്
  • X-Frame-Options ചേർക്കുക: 1 മിനിറ്റ്
  • HSTS ചേർക്കുക: 1 മിനിറ്റ്
  • .env, .git ഫയലുകൾ ബ്ലോക്ക് ചെയ്യുക: 1 മിനിറ്റ്
  • റേറ്റ് ലിമിറ്റിംഗ് മിഡിൽവെയർ (rate limiting middleware) ചേർക്കുക: 10 മിനിറ്റ്

ഇവ ചെറിയ പരീക്ഷണങ്ങളല്ല. യഥാർത്ഥ ഉപയോക്താക്കളുള്ള ലൈവ് ഉൽപ്പന്നങ്ങളാണിവ. ഇവ ആരോഗ്യ വിവരങ്ങൾ, SMS വിവരങ്ങൾ, ഉപയോക്താക്കളുടെ അക്കൗണ്ടുകൾ എന്നിവ കൈകാര്യം ചെയ്യുന്നു. ഇവയിൽ ഭൂരിഭാഗവും നിലവിൽ ഡാറ്റാ മോഷണത്തിനും ക്ലിക്ക്ജാക്കിംഗിനും (clickjacking) ഇരയാകാൻ സാധ്യതയുള്ളവയാണ്.

സ്രോതസ്സ്: https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04