Tôi đã quét 5 ứng dụng thực tế bằng trình quét bảo mật

Tôi đã xây dựng VibeSafe để quét mã nguồn do AI tạo ra. Tôi đã thử nghiệm nó trên 5 ứng dụng thực tế từ Vibe Coding Showcase.

Kết quả thật tệ.

Cả 5 ứng dụng đều có vấn đề về bảo mật. Không có ứng dụng nào có Content Security Policy. Tôi đã tìm thấy tổng cộng 33 vấn đề.

Chi tiết các lỗi:

  • 6 lỗi Nghiêm trọng
  • 9 lỗi Cao
  • 18 lỗi Trung bình

Dưới đây là những gì tôi tìm thấy trong các ứng dụng:

Ứng dụng 1: Nền tảng sức khỏe bà mẹ Ứng dụng này làm rò rỉ dữ liệu.

  • Các tệp .env ở chế độ công khai. Bất kỳ ai cũng có thể lấy được thông tin xác thực của bạn.
  • Thư mục .git bị lộ. Bất kỳ ai cũng có thể tải xuống toàn bộ lịch sử mã nguồn của bạn.
  • Không có bảo vệ XSS.
  • Không có giới hạn tốc độ (rate limiting) khi đăng nhập.

Ứng dụng 2: Nền tảng lòng trung thành qua SMS Ứng dụng này gặp các vấn đề tương tự như Ứng dụng 1.

  • Các tệp .env công khai.
  • Thư mục .git công khai.
  • Không có các tiêu đề bảo mật (security headers).
  • Không có bảo vệ xác thực (auth protection).

Ứng dụng 3: Nền tảng SaaS Được xây dựng bởi một CTO dày dạn kinh nghiệm, nhưng vẫn còn những lỗ hổng.

  • Thư mục .git đã bị rò rỉ.
  • Các thư mục cache của Python ở chế độ công khai.
  • Không có bảo vệ XSS.

Ứng dụng 4: Ứng dụng nuôi dạy con cái Đây là ứng dụng tốt nhất trong nhóm, nhưng vẫn tiềm ẩn rủi ro.

  • SSL và các tệp .env được an toàn.
  • Không có bảo vệ XSS.
  • Không có giới hạn tốc độ khi đăng nhập. Điều này cho phép các cuộc tấn công brute-force.

Ứng dụng 5: Sản phẩm Netlify

  • Chứng chỉ SSL không hợp lệ.
  • Các trình duyệt chặn trang web này vì không an toàn.

Tóm tắt các rủi ro phổ biến:

  • Không có Content Security Policy: 100% ứng dụng
  • Không có X-Frame-Options: 100% ứng dụng
  • Không có giới hạn tốc độ: 80% ứng dụng
  • Lộ tệp .env hoặc .git: 60% ứng dụng

Bạn có thể khắc phục 90% các vấn đề này trong 15 phút.

Cách khắc phục:

  • Thêm Content-Security-Policy: 1 phút
  • Thêm X-Frame-Options: 1 phút
  • Thêm HSTS: 1 phút
  • Chặn các tệp .env và .git: 1 phút
  • Thêm middleware giới hạn tốc độ: 10 phút

Đây không phải là những thử nghiệm nhỏ. Đây là các sản phẩm đang hoạt động với người dùng thực tế. Chúng xử lý dữ liệu sức khỏe, dữ liệu SMS và tài khoản người dùng. Hầu hết hiện đang dễ bị tấn công đánh cắp dữ liệu và clickjacking.

Nguồn: https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04