मी एका सिक्युरिटी स्कॅनरने ५ खऱ्या ॲप्सचे स्कॅनिंग केले
मी AI-जनरेटेड कोड स्कॅन करण्यासाठी VibeSafe तयार केले आहे. मी 'Vibe Coding Showcase' मधील ५ खऱ्या ॲप्सवर त्याची चाचणी घेतली.
निकाल वाईट आहेत.
सर्व ५ ॲप्समध्ये सुरक्षा समस्या होत्या. कोणत्याही ॲपमध्ये Content Security Policy नव्हती. मला एकूण ३३ समस्या आढळल्या.
तपशील:
- ६ गंभीर (Critical) समस्या
- ९ उच्च (High) समस्या
- १८ मध्यम (Medium) समस्या
ॲप्समध्ये मला काय आढळले ते खालीलप्रमाणे आहे:
ॲप १: मातृत्त्व आरोग्य प्लॅटफॉर्म (Maternal health platform) हे ॲप डेटा लीक करते.
- .env फाईल्स सार्वजनिक आहेत. कोणीही तुमची क्रेडेंशियल्स (credentials) घेऊ शकते.
- .git फोल्डर उघड (exposed) आहे. कोणीही तुमचा संपूर्ण कोड इतिहास डाउनलोड करू शकते.
- XSS संरक्षण नाही.
- लॉगिनवर रेट लिमिटिंग (rate limiting) नाही.
ॲप २: SMS लॉयल्टी प्लॅटफॉर्म हे ॲप १ प्रमाणेच आहे.
- सार्वजनिक .env फाईल्स.
- सार्वजनिक .git फोल्डर.
- सिक्युरिटी हेडर्स नाहीत.
- ऑथेंटिकेशन (auth) संरक्षण नाही.
ॲप ३: SaaS प्लॅटफॉर्म एका अनुभवी CTO ने तयार केलेले असूनही, यामध्ये त्रुटी होत्या.
- .git फोल्डर लीक झाले होते.
- Python कॅशे डिरेक्टरीज (cache directories) सार्वजनिक होत्या.
- XSS संरक्षण नाही.
ॲप ४: पेरेंटिंग ॲप हे या गटातील सर्वोत्तम होते, तरीही जोखमीचे होते.
- SSL आणि .env फाईल्स सुरक्षित होत्या.
- XSS संरक्षण नाही.
- साइन-इनवर रेट लिमिटिंग नाही. यामुळे ब्रूट-फोर्स (brute-force) हल्ले होऊ शकतात.
ॲप ५: Netlify उत्पादन
- SSL प्रमाणपत्र अवैध (invalid) आहे.
- असुरक्षित असल्याने ब्राउझर ही साइट ब्लॉक करतात.
सामान्य जोखमींचा सारांश:
- Content Security Policy नाही: १००% ॲप्स
- X-Frame-Options नाही: १००% ॲप्स
- रेट लिमिटिंग नाही: ८०% ॲप्स
- उघड (exposed) .env किंवा .git फाईल्स: ६०% ॲप्स
तुम्ही यातील ९०% समस्या १५ मिनिटांत सुधारू शकता.
त्या कशा सुधारायच्या:
- Content-Security-Policy जोडा: १ मिनिट
- X-Frame-Options जोडा: १ मिनिट
- HSTS जोडा: १ मिनिट
- .env आणि .git फाईल्स ब्लॉक करा: १ मिनिट
- रेट लिमिटिंग मिडलवेअर (rate limiting middleware) जोडा: १० मिनिटे
हे केवळ छोटे प्रयोग नाहीत. हे वास्तविक वापरकर्ते असलेले लाईव्ह प्रॉडक्ट्स आहेत. ते आरोग्य डेटा, SMS डेटा आणि वापरकर्त्यांची खाती हाताळतात. त्यातील बहुतेक सध्या डेटा चोरी आणि क्लिकजॅकिंगसाठी (clickjacking) असुरक्षित आहेत.
