నేను ఒక సెక్యూరిటీ స్కానర్‌తో 5 నిజమైన యాప్‌లను స్కాన్ చేశాను

AI-జనరేటెడ్ కోడ్‌ను స్కాన్ చేయడానికి నేను VibeSafeని రూపొందించాను. Vibe Coding Showcase నుండి 5 నిజమైన యాప్‌లపై నేను దీనిని పరీక్షించాను.

ఫలితాలు చాలా దారుణంగా ఉన్నాయి.

5 యాప్‌లలోనూ సెక్యూరిటీ సమస్యలు ఉన్నాయి. ఏ ఒక్క యాప్‌లోనూ Content Security Policy లేదు. నేను మొత్తం 33 సమస్యలను కనుగొన్నాను.

వివరాలు:

  • 6 క్లిష్టమైన (Critical) సమస్యలు
  • 9 తీవ్రమైన (High) సమస్యలు
  • 18 మధ్యస్థ (Medium) సమస్యలు

యాప్‌లలో నేను కనుగొన్న అంశాలు ఇక్కడ ఉన్నాయి:

యాప్ 1: మాతృత్వ ఆరోగ్య ప్లాట్‌ఫారమ్ (Maternal health platform) ఈ యాప్ డేటాను లీక్ చేస్తోంది.

  • .env ఫైల్‌లు పబ్లిక్‌గా ఉన్నాయి. ఎవరైనా మీ క్రెడెన్షియల్స్‌ను (credentials) తీసుకోవచ్చు.
  • .git ఫోల్డర్ ఎక్స్‌పోజ్ చేయబడింది. ఎవరైనా మీ పూర్తి కోడ్ హిస్టరీని డౌన్‌లోడ్ చేసుకోవచ్చు.
  • XSS రక్షణ లేదు.
  • లాగిన్‌పై రేట్ లిమిటింగ్ (rate limiting) లేదు.

యాప్ 2: SMS లాయల్టీ ప్లాట్‌ఫారమ్ ఇది కూడా యాప్ 1 లాగే ఉంది.

  • పబ్లిక్ .env ఫైల్‌లు.
  • పబ్లిక్ .git ఫోల్డర్.
  • సెక్యూరిటీ హెడర్స్ లేవు.
  • ఆథెంటికేషన్ (auth) రక్షణ లేదు.

యాప్ 3: SaaS ప్లాట్‌ఫారమ్ అనుభవజ్ఞుడైన CTO రూపొందించినప్పటికీ, ఇందులో లోపాలు ఉన్నాయి.

  • .git ఫోల్డర్ లీక్ అయింది.
  • Python క్యాచీ డైరెక్టరీలు (cache directories) పబ్లిక్‌గా ఉన్నాయి.
  • XSS రక్షణ లేదు.

యాప్ 4: పేరెంటింగ్ యాప్ (Parenting app) ఈ గ్రూపులో ఇది అత్యుత్తమమైనది, కానీ ఇప్పటికీ ప్రమాదకరమే.

  • SSL మరియు .env ఫైల్‌లు సురక్షితంగా ఉన్నాయి.
  • XSS రక్షణ లేదు.
  • సైన్-ఇన్‌పై రేట్ లిమిటింగ్ లేదు. ఇది బ్రూట్-ఫోర్స్ (brute-force) దాడులకు అవకాశం ఇస్తుంది.

యాప్ 5: Netlify ఉత్పత్తి

  • SSL సర్టిఫికేట్ చెల్లదు (invalid).
  • ఈ సైట్ సురక్షితం కాదని బ్రౌజర్‌లు బ్లాక్ చేస్తున్నాయి.

సాధారణ రిస్క్‌ల సారాంశం:

  • Content Security Policy లేదు: 100% యాప్‌లు
  • X-Frame-Options లేదు: 100% యాప్‌లు
  • రేట్ లిమిటింగ్ లేదు: 80% యాప్‌లు
  • .env లేదా .git ఫైల్‌లు ఎక్స్‌పోజ్ చేయబడ్డాయి: 60% యాప్‌లు

మీరు ఈ సమస్యలలో 90%ని 15 నిమిషాల్లో పరిష్కరించవచ్చు.

వీటిని ఎలా పరిష్కరించాలి:

  • Content-Security-Policyని జోడించండి: 1 నిమిషం
  • X-Frame-Optionsని జోడించండి: 1 నిమిషం
  • HSTSని జోడించండి: 1 నిమిషం
  • .env మరియు .git ఫైల్‌లను బ్లాక్ చేయండి: 1 నిమిషం
  • రేట్ లిమిటింగ్ మిడిల్‌వేర్‌ను (rate limiting middleware) జోడించండి: 10 నిమిషాలు

ఇవి చిన్న ప్రయోగాలు కావు. ఇవి నిజమైన వినియోగదారులతో ఉన్న లైవ్ ప్రొడక్ట్‌లు. ఇవి ఆరోగ్య డేటా, SMS డేటా మరియు యూజర్ అకౌంట్‌లను నిర్వహిస్తాయి. వీటిలో చాలా వరకు ప్రస్తుతం డేటా దొంగతనం మరియు క్లిక్‌జాకింగ్‌కు (clickjacking) గురయ్యే ప్రమాదం ఉంది.

మూలం: https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04