Nilichunguza Programu 5 Halisi kwa Kutumia Skana ya Usalama

Nilijenga VibeSafe ili kuchunguza kodi zilizotengenezwa na AI. Nilijaribu kwenye programu 5 halisi kutoka kwenye Vibe Coding Showcase.

Matokeo ni mabaya.

Programu zote 5 zilikuwa na matatizo ya usalama. Hakuna programu iliyokuwa na Content Security Policy. Nilipata jumla ya matatizo 33.

Mchanganuo:

  • 6 Matatizo ya hatari (Critical)
  • 9 Matatizo ya juu (High)
  • 18 Matatizo ya wastani (Medium)

Hapa kuna nilichokipata kwenye programu hizo:

Programu ya 1: Jukwaa la afya ya uzazi Programu hii inavuja data.

  • Faili za .env ziko wazi. Mtu yeyote anaweza kuchukua taarifa zako za siri (credentials).
  • Folda ya .git imejitokeza. Mtu yeyote anaweza kupakua historia yako nzima ya kodi.
  • Hakuna ulinzi wa XSS.
  • Hakuna kizuizi cha kasi (rate limiting) wakati wa kuingia (login).

Programu ya 2: Jukwaa la uaminifu la SMS Hii inafuata mfumo ule ule kama Programu ya 1.

  • Faili za .env ziko wazi.
  • Folda ya .git iko wazi.
  • Hakuna vichwa vya usalama (security headers).
  • Hakuna ulinzi wa uthibitishaji (auth protection).

Programu ya 3: Jukwaa la SaaS Ilijengwa na CTO mwenye uzoefu, lakini bado ilikuwa na mianya.

  • Folda ya .git ilivuja.
  • Direktoi za cache za Python zilikuwa wazi.
  • Hakuna ulinzi wa XSS.

Programu ya 4: Programu ya malezi Hii ilikuwa bora zaidi katika kundi hili, lakini bado ina hatari.

  • SSL na faili za .env zilikuwa salama.
  • Hakuna ulinzi wa XSS.
  • Hakuna kizuizi cha kasi (rate limiting) wakati wa kujisajili. Hii inaruhusu mashambulizi ya brute-force.

Programu ya 5: Bidhaa ya Netlify

  • Cheti cha SSL si halali.
  • Vivinjari (browsers) vinazuia tovuti hii kwa sababu si salama.

Muhtasari wa hatari za kawaida:

  • Hakuna Content Security Policy: 100% ya programu
  • Hakuna X-Frame-Options: 100% ya programu
  • Hakuna kizuizi cha kasi (rate limiting): 80% ya programu
  • Faili za .env au .git zilizojitokeza: 60% ya programu

Unaweza kurekebisha 90% ya matatizo haya ndani ya dakika 15.

Jinsi ya kuyarekebisha:

  • Ongeza Content-Security-Policy: dakika 1
  • Ongeza X-Frame-Options: dakika 1
  • Ongeza HSTS: dakika 1
  • Zuia faili za .env na .git: dakika 1
  • Ongeza middleware ya kizuizi cha kasi (rate limiting): dakika 10

Hizi si majaribio madogo. Hizi ni bidhaa zinazotumika (live products) zenye watumiaji halisi. Zinashughulikia data za afya, data za SMS, na akaunti za watumiaji. Nyingi kwa sasa ziko hatarini kupata wizi wa data na clickjacking.

Source: https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04