میں نے ایک سیکیورٹی اسکینر کے ذریعے 5 حقیقی ایپس کو اسکین کیا۔
میں نے AI سے تیار کردہ کوڈ کو اسکین کرنے کے لیے VibeSafe بنایا ہے۔ میں نے اسے Vibe Coding Showcase کی 5 حقیقی ایپس پر آزمایا۔
نتائج افسوسناک ہیں۔
تمام 5 ایپس میں سیکیورٹی کے مسائل تھے۔ کسی بھی ایپ میں Content Security Policy نہیں تھی۔ مجھے کل 33 مسائل ملے۔
تفصیلات درج ذیل ہیں:
- 6 سنگین (Critical) مسائل
- 9 اعلیٰ (High) درجے کے مسائل
- 18 درمیانے (Medium) درجے کے مسائل
ایپس میں مجھے جو کچھ ملا وہ یہ ہے:
ایپ 1: مادری صحت کا پلیٹ فارم (Maternal health platform) یہ ایپ ڈیٹا لیک کرتی ہے۔
- .env فائلیں عوامی (public) ہیں۔ کوئی بھی آپ کے کریڈنشلز (credentials) حاصل کر سکتا ہے۔
- .git فولڈر ظاہر (exposed) ہے۔ کوئی بھی آپ کی کوڈ کی مکمل ہسٹری ڈاؤن لوڈ کر سکتا ہے۔
- XSS پروٹیکشن موجود نہیں ہے۔
- لاگ ان پر ریٹ لمٹنگ (rate limiting) نہیں ہے۔
ایپ 2: SMS لائلٹی پلیٹ فارم یہ ایپ 1 کے ہی پیٹرن پر چلتی ہے۔
- عوامی .env فائلیں۔
- عوامی .git فولڈر۔
- سیکیورٹی ہیڈرز (security headers) موجود نہیں ہیں۔
- آتھ (auth) پروٹیکشن موجود نہیں ہے۔
ایپ 3: SaaS پلیٹ فارم ایک تجربہ کار CTO نے بنایا ہے، لیکن پھر بھی اس میں خامیاں تھیں۔
- .git فولڈر لیک ہو گیا تھا۔
- Python کی کیش ڈائریکٹریز (cache directories) عوامی تھیں۔
- XSS پروٹیکشن موجود نہیں ہے۔
ایپ 4: پیرنٹنگ ایپ (Parenting app) یہ گروپ میں سب سے بہتر تھی، لیکن پھر بھی پرخطر تھی۔
- SSL اور .env فائلیں محفوظ تھیں۔
- XSS پروٹیکشن موجود نہیں ہے۔
- سائن ان پر ریٹ لمٹنگ (rate limiting) نہیں ہے۔ یہ بروٹ فورس (brute-force) حملوں کی اجازت دیتا ہے۔
ایپ 5: Netlify پروڈکٹ
- SSL سرٹیفکیٹ غیر مستند (invalid) ہے۔
- براؤزرز اس سائٹ کو غیر محفوظ ہونے کی وجہ سے بلاک کر دیتے ہیں۔
عام خطرات کا خلاصہ:
- کوئی Content Security Policy نہیں: 100% ایپس
- کوئی X-Frame-Options نہیں: 100% ایپس
- کوئی ریٹ لمٹنگ نہیں: 80% ایپس
- .env یا .git فائلیں ظاہر ہونا: 60% ایپس
آپ ان میں سے 90% مسائل کو 15 منٹ میں ٹھیک کر سکتے ہیں۔
انہیں کیسے ٹھیک کریں:
- Content-Security-Policy شامل کریں: 1 منٹ
- X-Frame-Options شامل کریں: 1 منٹ
- HSTS شامل کریں: 1 منٹ
- .env اور .git فائلوں کو بلاک کریں: 1 منٹ
- ریٹ لمٹنگ مڈل ویئر (rate limiting middleware) شامل کریں: 10 منٹ
یہ کوئی چھوٹے تجربات نہیں ہیں۔ یہ حقیقی صارفین کے ساتھ لائیو پروڈکٹس ہیں۔ یہ صحت کے ڈیٹا، SMS ڈیٹا اور صارف کے اکاؤنٹس کو سنبھالتے ہیں۔ زیادہ تر فی الحال ڈیٹا کی چوری اور کلک جیکنگ (clickjacking) کے لیے غیر محفوظ ہیں۔
