我用安全扫描器扫描了 5 个真实应用

我开发了 VibeSafe 用来扫描 AI 生成的代码。我在来自 Vibe Coding Showcase 的 5 个真实应用上对其进行了测试。

结果非常糟糕。

所有 5 个应用都存在安全问题。没有任何一个应用配置了内容安全策略 (Content Security Policy)。我总共发现了 33 个问题。

问题分布如下:

  • 6 个严重 (Critical) 问题
  • 9 个高危 (High) 问题
  • 18 个中危 (Medium) 问题

以下是我在这些应用中发现的问题:

应用 1:孕产妇健康平台 该应用存在数据泄露风险。

  • .env 文件是公开的。任何人都可以获取你的凭据。
  • .git 文件夹已暴露。任何人都可以下载你的整个代码历史记录。
  • 没有 XSS 防护。
  • 登录没有速率限制 (rate limiting)。

应用 2:短信忠诚度平台 其模式与应用 1 相同。

  • 公开的 .env 文件。
  • 公开的 .git 文件夹。
  • 缺少安全响应头 (security headers)。
  • 没有身份验证保护。

应用 3:SaaS 平台 由一位经验丰富的 CTO 构建,但仍然存在漏洞。

  • .git 文件夹泄露。
  • Python 缓存目录是公开的。
  • 没有 XSS 防护。

应用 4:育儿应用 这是这组应用中表现最好的,但仍然存在风险。

  • SSL 和 .env 文件是安全的。
  • 没有 XSS 防护。
  • 登录没有速率限制。这会导致暴力破解攻击。

应用 5:Netlify 产品

  • SSL 证书无效。
  • 浏览器因该网站不安全而将其拦截。

常见风险总结:

  • 无内容安全策略 (Content Security Policy):100% 的应用
  • 无 X-Frame-Options:100% 的应用
  • 无速率限制:80% 的应用
  • .env 或 .git 文件暴露:60% 的应用

你可以在 15 分钟内修复其中 90% 的问题。

修复方法:

  • 添加 Content-Security-Policy:1 分钟
  • 添加 X-Frame-Options:1 分钟
  • 添加 HSTS:1 分钟
  • 屏蔽 .env 和 .git 文件:1 分钟
  • 添加速率限制中间件 (rate limiting middleware):10 分钟

这些并非小规模实验。它们是拥有真实用户的在线产品。它们处理着健康数据、短信数据和用户账户。目前,大多数应用都容易受到数据窃取和点击劫持 (clickjacking) 的攻击。

来源:https://dev.to/amrakg93/i-scanned-5-real-vibe-coded-apps-with-a-security-scanner-heres-what-i-found-4a04