Я просканировал 5 реальных приложений с помощью сканера безопасности

Я создал VibeSafe для сканирования кода, сгенерированного ИИ. Я протестировал его на 5 реальных приложениях из Vibe Coding Showcase.

Результаты неутешительные.

Во всех 5 приложениях были проблемы с безопасностью. Ни в одном приложении не было Content Security Policy. Всего я обнаружил 33 проблемы.

Распределение:

  • 6 критических проблем
  • 9 проблем высокого уровня
  • 18 проблем среднего уровня

Вот что я обнаружил в приложениях:

Приложение 1: Платформа для охраны материнского здоровья Это приложение допускает утечку данных.

  • .env-файлы находятся в открытом доступе. Любой может украсть ваши учетные данные.
  • Папка .git открыта. Любой может скачать всю историю вашего кода.
  • Отсутствует защита от XSS.
  • Отсутствует ограничение частоты запросов (rate limiting) при входе.

Приложение 2: SMS-платформа лояльности Здесь наблюдается та же ситуация, что и в первом приложении.

  • Публичные .env-файлы.
  • Публичная папка .git.
  • Отсутствуют заголовки безопасности.
  • Нет защиты аутентификации.

Приложение 3: SaaS-платформа Создана опытным CTO, но всё равно содержит уязвимости.

  • Произошла утечка папки .git.
  • Директории кэша Python были в открытом доступе.
  • Отсутствует защита от XSS.

Приложение 4: Приложение для родителей Это было лучшее приложение в группе, но оно всё равно остается рискованным.

  • SSL и .env-файлы в безопасности.
  • Отсутствует защита от XSS.
  • Нет ограничения частоты запросов при входе. Это позволяет проводить атаки методом перебора (brute-force).

Приложение 5: Продукт Netlify

  • SSL-сертификат недействителен.
  • Браузеры блокируют этот сайт как небезопасный.

Обзор общих рисков:

  • Отсутствие Content Security Policy: 100% приложений
  • Отсутствие X-Frame-Options: 100% приложений
  • Отсутствие ограничения частоты запросов: 80% приложений
  • Открытые .env или .git файлы: 60% приложений

Вы можете исправить 90% этих проблем за 15 минут.

Как их исправить:

  • Добавить Content-Security-Policy: 1 минута
  • Добавить X-Frame-Options: 1 минута
  • Добавить HSTS: 1 минута
  • Заблокировать доступ к .env и .git файлам: 1 минута
  • Добавить middleware для ограничения частоты запросов: 10 минут

Это не мелкие эксперименты. Это работающие продукты с реальными пользователями. Они обрабатывают медицинские данные, SMS-данные и учетные записи пользователей. Большинство из них в данный момент уязвимы для кражи данных и кликджекинга.

Источник: https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04