我用安全扫描器扫描了 5 个真实应用
我开发了 VibeSafe 用来扫描 AI 生成的代码。我在来自 Vibe Coding Showcase 的 5 个真实应用上对其进行了测试。
结果非常糟糕。
所有 5 个应用都存在安全问题。没有任何一个应用配置了内容安全策略 (Content Security Policy)。我总共发现了 33 个问题。
问题分布如下:
- 6 个严重 (Critical) 问题
- 9 个高危 (High) 问题
- 18 个中危 (Medium) 问题
以下是我在这些应用中发现的问题:
应用 1:孕产妇健康平台 该应用存在数据泄露风险。
- .env 文件是公开的。任何人都可以获取你的凭据。
- .git 文件夹已暴露。任何人都可以下载你的整个代码历史记录。
- 没有 XSS 防护。
- 登录没有速率限制 (rate limiting)。
应用 2:短信忠诚度平台 其模式与应用 1 相同。
- 公开的 .env 文件。
- 公开的 .git 文件夹。
- 缺少安全响应头 (security headers)。
- 没有身份验证保护。
应用 3:SaaS 平台 由一位经验丰富的 CTO 构建,但仍然存在漏洞。
- .git 文件夹泄露。
- Python 缓存目录是公开的。
- 没有 XSS 防护。
应用 4:育儿应用 这是这组应用中表现最好的,但仍然存在风险。
- SSL 和 .env 文件是安全的。
- 没有 XSS 防护。
- 登录没有速率限制。这会导致暴力破解攻击。
应用 5:Netlify 产品
- SSL 证书无效。
- 浏览器因该网站不安全而将其拦截。
常见风险总结:
- 无内容安全策略 (Content Security Policy):100% 的应用
- 无 X-Frame-Options:100% 的应用
- 无速率限制:80% 的应用
- .env 或 .git 文件暴露:60% 的应用
你可以在 15 分钟内修复其中 90% 的问题。
修复方法:
- 添加 Content-Security-Policy:1 分钟
- 添加 X-Frame-Options:1 分钟
- 添加 HSTS:1 分钟
- 屏蔽 .env 和 .git 文件:1 分钟
- 添加速率限制中间件 (rate limiting middleware):10 分钟
这些并非小规模实验。它们是拥有真实用户的在线产品。它们处理着健康数据、短信数据和用户账户。目前,大多数应用都容易受到数据窃取和点击劫持 (clickjacking) 的攻击。
