Przeskanowałem 5 prawdziwych aplikacji skanerem bezpieczeństwa

Zbudowałem VibeSafe, aby skanować kod generowany przez AI. Przetestowałem go na 5 prawdziwych aplikacjach z Vibe Coding Showcase.

Wyniki są złe.

Wszystkie 5 aplikacji miało problemy z bezpieczeństwem. Żadna aplikacja nie posiadała Content Security Policy. Łącznie znalazłem 33 problemy.

Podział:

  • 6 krytycznych problemów
  • 9 wysokich problemów
  • 18 średnich problemów

Oto co znalazłem w aplikacjach:

Aplikacja 1: Platforma zdrowia matek Ta aplikacja powoduje wycieki danych.

  • Pliki .env są publiczne. Każdy może przejąć Twoje dane uwierzytelniające.
  • Folder .git jest wystawiony. Każdy może pobrać całą historię kodu.
  • Brak ochrony przed XSS.
  • Brak ograniczania liczby żądań (rate limiting) przy logowaniu.

Aplikacja 2: Platforma lojalnościowa SMS Podąża tym samym schematem co Aplikacja 1.

  • Publiczne pliki .env.
  • Publiczny folder .git.
  • Brak nagłówków bezpieczeństwa.
  • Brak ochrony uwierzytelniania.

Aplikacja 3: Platforma SaaS Zbudowana przez doświadczonego CTO, ale wciąż miała luki.

  • Folder .git wyciekł.
  • Katalogi pamięci podręcznej Pythona były publiczne.
  • Brak ochrony przed XSS.

Aplikacja 4: Aplikacja dla rodziców To była najlepsza aplikacja w grupie, ale wciąż niosła ryzyko.

  • SSL i pliki .env były bezpieczne.
  • Brak ochrony przed XSS.
  • Brak ograniczania liczby żądań przy logowaniu. Umożliwia to ataki typu brute-force.

Aplikacja 5: Produkt Netlify

  • Certyfikat SSL jest nieważny.
  • Przeglądarki blokują tę stronę jako niebezpieczną.

Podsumowanie wspólnych ryzyk:

  • Brak Content Security Policy: 100% aplikacji
  • Brak X-Frame-Options: 100% aplikacji
  • Brak ograniczania liczby żądań: 80% aplikacji
  • Wystawione pliki .env lub .git: 60% aplikacji

90% tych problemów możesz naprawić w 15 minut.

Jak je naprawić:

  • Dodaj Content-Security-Policy: 1 minuta
  • Dodaj X-Frame-Options: 1 minuta
  • Dodaj HSTS: 1 minuta
  • Zablokuj pliki .env i .git: 1 minuta
  • Dodaj middleware do ograniczania liczby żądań: 10 minut

To nie są małe eksperymenty. To działające produkty z prawdziwymi użytkownikami. Przetwarzają dane medyczne, dane SMS i konta użytkowników. Większość z nich jest obecnie podatna na kradzież danych i clickjacking.

Źródło: https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04