Ik heb 5 echte apps gescand met een security scanner

Ik heb VibeSafe gebouwd om door AI gegenereerde code te scannen. Ik heb het getest op 5 echte apps uit de Vibe Coding Showcase.

De resultaten zijn slecht.

Alle 5 de apps hadden beveiligingsproblemen. Geen enkele app had een Content Security Policy. Ik heb in totaal 33 problemen gevonden.

De verdeling:

  • 6 kritieke problemen
  • 9 hoge problemen
  • 18 gemiddelde problemen

Dit is wat ik in de apps heb gevonden:

App 1: Platform voor moederlijke gezondheid Deze app lekt gegevens.

  • .env-bestanden zijn openbaar. Iedereen kan je inloggegevens stelen.
  • De .git-map is blootgesteld. Iedereen kan je volledige codegeschiedenis downloaden.
  • Geen XSS-bescherming.
  • Geen rate limiting bij het inloggen.

App 2: SMS-loyaliteitsplatform Dit volgt hetzelfde patroon als App 1.

  • Openbare .env-bestanden.
  • Openbare .git-map.
  • Geen security headers.
  • Geen auth-bescherming.

App 3: SaaS-platform Gebouwd door een ervaren CTO, maar er zaten nog steeds gaten in.

  • De .git-map werd gelekt.
  • Python-cachemappen waren openbaar.
  • Geen XSS-bescherming.

App 4: Parenting-app Dit was de beste van de groep, maar nog steeds riskant.

  • SSL en .env-bestanden waren veilig.
  • Geen XSS-bescherming.
  • Geen rate limiting bij het aanmelden. Dit maakt brute-force aanvallen mogelijk.

App 5: Netlify-product

  • Het SSL-certificaat is ongeldig.
  • Browsers blokkeren deze site omdat deze onveilig is.

Samenvatting van veelvoorkomende risico's:

  • Geen Content Security Policy: 100% van de apps
  • Geen X-Frame-Options: 100% van de apps
  • Geen rate limiting: 80% van de apps
  • Blootgestelde .env- of .git-bestanden: 60% van de apps

Je kunt 90% van deze problemen in 15 minuten oplossen.

Hoe je ze oplost:

  • Voeg Content-Security-Policy toe: 1 minuut
  • Voeg X-Frame-Options toe: 1 minuut
  • Voeg HSTS toe: 1 minuut
  • Blokkeer .env- en .git-bestanden: 1 minuut
  • Voeg rate limiting middleware toe: 10 minuten

Dit zijn geen kleine experimenten. Dit zijn live producten met echte gebruikers. Ze verwerken gezondheidsgegevens, SMS-gegevens en gebruikersaccounts. De meeste zijn momenteel kwetsbaar voor datadiefstal en clickjacking.

Bron: https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04