Saltar al contenido

Secretos expuestos en frontend

Encuentra credenciales que el frontend pudo hacer públicas

BoringSec inspecciona lo que recibe el navegador, oculta la evidencia sensible y no marca identificadores públicos como filtraciones por defecto.

Úsalo tras cambios de entorno, build, integraciones o despliegues frontend.

Escanea solo sistemas propios o para los que tengas autorización. Los motores profundos requieren autorización verificada y pueden no estar disponibles para un objetivo.

informe / hallazgo de ejemploIlustrativo
Crítico

Estructura de ejemplo del informe

Clave API privada expuesta en un bundle

Evidencia
Un formato de secreto compatible aparece en un asset del mismo origen; el informe oculta el valor.
Qué significa
Una clave de servidor incluida en el navegador puede obtenerse sin autenticación.
Corregir y verificar
Revoca y rota la clave, mueve las llamadas al servidor, despliega de nuevo y vuelve a escanear.

Este hallazgo es ilustrativo, no un resultado de tu aplicación. Los informes reales muestran el escáner, el estado de la evidencia y los límites de cobertura del objetivo.

Rutas de riesgo comunes

Qué merece una revisión más profunda

Son patrones de riesgo relevantes para proyectos de exposición de claves API, no afirmaciones sobre todos ellos. Solo aparece un hallazgo cuando un escáner aporta evidencia.

Secretos de proveedores en JavaScript

Credenciales de pagos, IA, cloud o repositorios pueden ser extraídas por cualquier visitante.

Tokens privilegiados de datos

Cadenas de conexión, secretos de firma y claves service-role permiten acceso directo.

Falsos positivos en identificadores públicos

Claves publicables e IDs analíticos requieren clasificación por formato y contexto.

Cobertura honesta

Qué puede demostrar cada superficie de escaneo

La URL, el código conectado y los motores profundos autorizados responden preguntas distintas. BoringSec separa las fuentes y muestra estados parciales, bloqueados o no disponibles.

Leer la metodología pública (en inglés)
URL en vivo

HTML y bundles públicos

Escanea el documento y JavaScript acotado del mismo origen; los assets omitidos quedan como cobertura parcial.

URL en vivo

Patrones de credenciales compatibles

Reconoce formatos de proveedores, claves privadas, URLs de base de datos y tokens backend.

URL en vivo

Evidencia oculta

Muestra el origen y un valor enmascarado, no una credencial reutilizable.

Código conectado

Exposición solo en repositorio

El código conectado añade archivos de servidor y credenciales no enviadas al navegador.

De la observación a la verificación

Un informe orientado a la siguiente acción

  1. 01

    Observar

    Inspecciona la respuesta pública e inicia los motores en segundo plano que sean aplicables.

  2. 02

    Verificar evidencia

    Consulta qué se observó, qué escáner lo produjo y con qué confianza.

  3. 03

    Corregir con contexto

    Usa una corrección concreta y el contexto relevante para Comprobador de claves API.

  4. 04

    Volver a probar

    Ejecuta una evaluación nueva; la monitorización detecta regresiones posteriores.

Preguntas antes de escanear

¿BoringSec prueba una clave descubierta?

No. Nunca se autentica en terceros con credenciales encontradas.

¿NEXT_PUBLIC y VITE son siempre inseguros?

No. Indican valores visibles en el navegador; lo inseguro es colocar allí secretos del servidor.

¿El informe muestra la clave completa?

No. La evidencia compatible se enmascara y conserva solo el contexto necesario.

¿Un resultado limpio demuestra que no hay claves?

No. Formatos no compatibles, assets inaccesibles y archivos de servidor quedan fuera del escaneo por URL.

Comprueba la aplicación desplegada y verifica cada corrección

Empieza por la URL pública. Añade código o contexto autenticado solo cuando decidas ampliar la cobertura.

Iniciar un escaneo de seguridad