Nilichunguza Programu 5 Halisi kwa Kutumia Skana ya Usalama
Nilijenga VibeSafe ili kuchunguza kodi zilizotengenezwa na AI. Nilijaribu kwenye programu 5 halisi kutoka kwenye Vibe Coding Showcase.
Matokeo ni mabaya.
Programu zote 5 zilikuwa na matatizo ya usalama. Hakuna programu iliyokuwa na Content Security Policy. Nilipata jumla ya matatizo 33.
Mchanganuo:
- 6 Matatizo ya hatari (Critical)
- 9 Matatizo ya juu (High)
- 18 Matatizo ya wastani (Medium)
Hapa kuna nilichokipata kwenye programu hizo:
Programu ya 1: Jukwaa la afya ya uzazi Programu hii inavuja data.
- Faili za
.envziko wazi. Mtu yeyote anaweza kuchukua taarifa zako za siri (credentials). - Folda ya
.gitimejitokeza. Mtu yeyote anaweza kupakua historia yako nzima ya kodi. - Hakuna ulinzi wa XSS.
- Hakuna kizuizi cha kasi (rate limiting) wakati wa kuingia (login).
Programu ya 2: Jukwaa la uaminifu la SMS Hii inafuata mfumo ule ule kama Programu ya 1.
- Faili za
.envziko wazi. - Folda ya
.gitiko wazi. - Hakuna vichwa vya usalama (security headers).
- Hakuna ulinzi wa uthibitishaji (auth protection).
Programu ya 3: Jukwaa la SaaS Ilijengwa na CTO mwenye uzoefu, lakini bado ilikuwa na mianya.
- Folda ya
.gitilivuja. - Direktoi za cache za Python zilikuwa wazi.
- Hakuna ulinzi wa XSS.
Programu ya 4: Programu ya malezi Hii ilikuwa bora zaidi katika kundi hili, lakini bado ina hatari.
- SSL na faili za
.envzilikuwa salama. - Hakuna ulinzi wa XSS.
- Hakuna kizuizi cha kasi (rate limiting) wakati wa kujisajili. Hii inaruhusu mashambulizi ya brute-force.
Programu ya 5: Bidhaa ya Netlify
- Cheti cha SSL si halali.
- Vivinjari (browsers) vinazuia tovuti hii kwa sababu si salama.
Muhtasari wa hatari za kawaida:
- Hakuna Content Security Policy: 100% ya programu
- Hakuna X-Frame-Options: 100% ya programu
- Hakuna kizuizi cha kasi (rate limiting): 80% ya programu
- Faili za
.envau.gitzilizojitokeza: 60% ya programu
Unaweza kurekebisha 90% ya matatizo haya ndani ya dakika 15.
Jinsi ya kuyarekebisha:
- Ongeza Content-Security-Policy: dakika 1
- Ongeza X-Frame-Options: dakika 1
- Ongeza HSTS: dakika 1
- Zuia faili za
.envna.git: dakika 1 - Ongeza middleware ya kizuizi cha kasi (rate limiting): dakika 10
Hizi si majaribio madogo. Hizi ni bidhaa zinazotumika (live products) zenye watumiaji halisi. Zinashughulikia data za afya, data za SMS, na akaunti za watumiaji. Nyingi kwa sasa ziko hatarini kupata wizi wa data na clickjacking.
