Я просканировал 5 реальных приложений с помощью сканера безопасности
Я создал VibeSafe для сканирования кода, сгенерированного ИИ. Я протестировал его на 5 реальных приложениях из Vibe Coding Showcase.
Результаты неутешительные.
Во всех 5 приложениях были проблемы с безопасностью. Ни в одном приложении не было Content Security Policy. Всего я обнаружил 33 проблемы.
Распределение:
- 6 критических проблем
- 9 проблем высокого уровня
- 18 проблем среднего уровня
Вот что я обнаружил в приложениях:
Приложение 1: Платформа для охраны материнского здоровья Это приложение допускает утечку данных.
- .env-файлы находятся в открытом доступе. Любой может украсть ваши учетные данные.
- Папка .git открыта. Любой может скачать всю историю вашего кода.
- Отсутствует защита от XSS.
- Отсутствует ограничение частоты запросов (rate limiting) при входе.
Приложение 2: SMS-платформа лояльности Здесь наблюдается та же ситуация, что и в первом приложении.
- Публичные .env-файлы.
- Публичная папка .git.
- Отсутствуют заголовки безопасности.
- Нет защиты аутентификации.
Приложение 3: SaaS-платформа Создана опытным CTO, но всё равно содержит уязвимости.
- Произошла утечка папки .git.
- Директории кэша Python были в открытом доступе.
- Отсутствует защита от XSS.
Приложение 4: Приложение для родителей Это было лучшее приложение в группе, но оно всё равно остается рискованным.
- SSL и .env-файлы в безопасности.
- Отсутствует защита от XSS.
- Нет ограничения частоты запросов при входе. Это позволяет проводить атаки методом перебора (brute-force).
Приложение 5: Продукт Netlify
- SSL-сертификат недействителен.
- Браузеры блокируют этот сайт как небезопасный.
Обзор общих рисков:
- Отсутствие Content Security Policy: 100% приложений
- Отсутствие X-Frame-Options: 100% приложений
- Отсутствие ограничения частоты запросов: 80% приложений
- Открытые .env или .git файлы: 60% приложений
Вы можете исправить 90% этих проблем за 15 минут.
Как их исправить:
- Добавить Content-Security-Policy: 1 минута
- Добавить X-Frame-Options: 1 минута
- Добавить HSTS: 1 минута
- Заблокировать доступ к .env и .git файлам: 1 минута
- Добавить middleware для ограничения частоты запросов: 10 минут
Это не мелкие эксперименты. Это работающие продукты с реальными пользователями. Они обрабатывают медицинские данные, SMS-данные и учетные записи пользователей. Большинство из них в данный момент уязвимы для кражи данных и кликджекинга.
