Ik heb 5 echte apps gescand met een security scanner
Ik heb VibeSafe gebouwd om door AI gegenereerde code te scannen. Ik heb het getest op 5 echte apps uit de Vibe Coding Showcase.
De resultaten zijn slecht.
Alle 5 de apps hadden beveiligingsproblemen. Geen enkele app had een Content Security Policy. Ik heb in totaal 33 problemen gevonden.
De verdeling:
- 6 kritieke problemen
- 9 hoge problemen
- 18 gemiddelde problemen
Dit is wat ik in de apps heb gevonden:
App 1: Platform voor moederlijke gezondheid Deze app lekt gegevens.
- .env-bestanden zijn openbaar. Iedereen kan je inloggegevens stelen.
- De .git-map is blootgesteld. Iedereen kan je volledige codegeschiedenis downloaden.
- Geen XSS-bescherming.
- Geen rate limiting bij het inloggen.
App 2: SMS-loyaliteitsplatform Dit volgt hetzelfde patroon als App 1.
- Openbare .env-bestanden.
- Openbare .git-map.
- Geen security headers.
- Geen auth-bescherming.
App 3: SaaS-platform Gebouwd door een ervaren CTO, maar er zaten nog steeds gaten in.
- De .git-map werd gelekt.
- Python-cachemappen waren openbaar.
- Geen XSS-bescherming.
App 4: Parenting-app Dit was de beste van de groep, maar nog steeds riskant.
- SSL en .env-bestanden waren veilig.
- Geen XSS-bescherming.
- Geen rate limiting bij het aanmelden. Dit maakt brute-force aanvallen mogelijk.
App 5: Netlify-product
- Het SSL-certificaat is ongeldig.
- Browsers blokkeren deze site omdat deze onveilig is.
Samenvatting van veelvoorkomende risico's:
- Geen Content Security Policy: 100% van de apps
- Geen X-Frame-Options: 100% van de apps
- Geen rate limiting: 80% van de apps
- Blootgestelde .env- of .git-bestanden: 60% van de apps
Je kunt 90% van deze problemen in 15 minuten oplossen.
Hoe je ze oplost:
- Voeg Content-Security-Policy toe: 1 minuut
- Voeg X-Frame-Options toe: 1 minuut
- Voeg HSTS toe: 1 minuut
- Blokkeer .env- en .git-bestanden: 1 minuut
- Voeg rate limiting middleware toe: 10 minuten
Dit zijn geen kleine experimenten. Dit zijn live producten met echte gebruikers. Ze verwerken gezondheidsgegevens, SMS-gegevens en gebruikersaccounts. De meeste zijn momenteel kwetsbaar voor datadiefstal en clickjacking.
