Saya Mengimbas 5 Aplikasi Sebenar Dengan Pengimbas Keselamatan
Saya membina VibeSafe untuk mengimbas kod yang dijana AI. Saya mengujinya pada 5 aplikasi sebenar daripada Vibe Coding Showcase.
Keputusannya buruk.
Kelima-lima aplikasi mempunyai isu keselamatan. Sifar aplikasi mempunyai Content Security Policy. Saya menemui 33 masalah secara keseluruhan.
Pecahannya:
- 6 isu Kritikal
- 9 isu Tinggi
- 18 isu Sederhana
Berikut adalah apa yang saya temui dalam aplikasi tersebut:
Aplikasi 1: Platform kesihatan ibu Aplikasi ini membocorkan data.
- Fail .env adalah awam. Sesiapa sahaja boleh mengambil kredensial anda.
- Folder .git terdedah. Sesiapa sahaja boleh memuat turun keseluruhan sejarah kod anda.
- Tiada perlindungan XSS.
- Tiada pengehadan kadar pada log masuk.
Aplikasi 2: Platform kesetiaan SMS Ini mengikut corak yang sama seperti Aplikasi 1.
- Fail .env awam.
- Folder .git awam.
- Tiada pengepala keselamatan.
- Tiada perlindungan pengesahan.
Aplikasi 3: Platform SaaS Dibina oleh seorang CTO berpengalaman, tetapi masih mempunyai kelemahan.
- Folder .git telah bocor.
- Direktori cache Python adalah awam.
- Tiada perlindungan XSS.
Aplikasi 4: Aplikasi keibubapaan Ini adalah yang terbaik dalam kumpulan ini, tetapi masih berisiko.
- SSL dan fail .env adalah selamat.
- Tiada perlindungan XSS.
- Tiada pengehadan kadar pada log masuk. Ini membolehkan serangan brute-force.
Aplikasi 5: Produk Netlify
- Sijil SSL tidak sah.
- Pelayar menyekat laman ini kerana tidak selamat.
Ringkasan risiko biasa:
- Tiada Content Security Policy: 100% aplikasi
- Tiada X-Frame-Options: 100% aplikasi
- Tiada pengehadan kadar: 80% aplikasi
- Fail .env atau .git terdedah: 60% aplikasi
Anda boleh membaiki 90% daripada isu ini dalam masa 15 minit.
Cara membaikinya:
- Tambah Content-Security-Policy: 1 minit
- Tambah X-Frame-Options: 1 minit
- Tambah HSTS: 1 minit
- Sekat fail .env dan .git: 1 minit
- Tambah middleware pengehadan kadar: 10 minit
Ini bukan eksperimen kecil. Ini adalah produk yang sedang beroperasi dengan pengguna sebenar. Ia mengendalikan data kesihatan, data SMS, dan akaun pengguna. Kebanyakannya kini terdedah kepada kecurian data dan clickjacking.
