Przeskanowałem 5 prawdziwych aplikacji skanerem bezpieczeństwa
Zbudowałem VibeSafe, aby skanować kod generowany przez AI. Przetestowałem go na 5 prawdziwych aplikacjach z Vibe Coding Showcase.
Wyniki są złe.
Wszystkie 5 aplikacji miało problemy z bezpieczeństwem. Żadna aplikacja nie posiadała Content Security Policy. Łącznie znalazłem 33 problemy.
Podział:
- 6 krytycznych problemów
- 9 wysokich problemów
- 18 średnich problemów
Oto co znalazłem w aplikacjach:
Aplikacja 1: Platforma zdrowia matek Ta aplikacja powoduje wycieki danych.
- Pliki .env są publiczne. Każdy może przejąć Twoje dane uwierzytelniające.
- Folder .git jest wystawiony. Każdy może pobrać całą historię kodu.
- Brak ochrony przed XSS.
- Brak ograniczania liczby żądań (rate limiting) przy logowaniu.
Aplikacja 2: Platforma lojalnościowa SMS Podąża tym samym schematem co Aplikacja 1.
- Publiczne pliki .env.
- Publiczny folder .git.
- Brak nagłówków bezpieczeństwa.
- Brak ochrony uwierzytelniania.
Aplikacja 3: Platforma SaaS Zbudowana przez doświadczonego CTO, ale wciąż miała luki.
- Folder .git wyciekł.
- Katalogi pamięci podręcznej Pythona były publiczne.
- Brak ochrony przed XSS.
Aplikacja 4: Aplikacja dla rodziców To była najlepsza aplikacja w grupie, ale wciąż niosła ryzyko.
- SSL i pliki .env były bezpieczne.
- Brak ochrony przed XSS.
- Brak ograniczania liczby żądań przy logowaniu. Umożliwia to ataki typu brute-force.
Aplikacja 5: Produkt Netlify
- Certyfikat SSL jest nieważny.
- Przeglądarki blokują tę stronę jako niebezpieczną.
Podsumowanie wspólnych ryzyk:
- Brak Content Security Policy: 100% aplikacji
- Brak X-Frame-Options: 100% aplikacji
- Brak ograniczania liczby żądań: 80% aplikacji
- Wystawione pliki .env lub .git: 60% aplikacji
90% tych problemów możesz naprawić w 15 minut.
Jak je naprawić:
- Dodaj Content-Security-Policy: 1 minuta
- Dodaj X-Frame-Options: 1 minuta
- Dodaj HSTS: 1 minuta
- Zablokuj pliki .env i .git: 1 minuta
- Dodaj middleware do ograniczania liczby żądań: 10 minut
To nie są małe eksperymenty. To działające produkty z prawdziwymi użytkownikami. Przetwarzają dane medyczne, dane SMS i konta użytkowników. Większość z nich jest obecnie podatna na kradzież danych i clickjacking.
