Secrets de fournisseurs dans JavaScript
Des identifiants de paiement, IA, cloud ou dépôt peuvent être extraits par tout visiteur.
Secrets exposés côté frontend
BoringSec inspecte ce que reçoit le navigateur, masque les preuves sensibles et ne qualifie pas par défaut les identifiants publics de fuite.
À utiliser après des changements d’environnement, de build, d’intégration ou de déploiement frontend.
Scannez uniquement les systèmes qui vous appartiennent ou pour lesquels vous êtes autorisé. Les moteurs approfondis exigent une autorisation vérifiée et peuvent être indisponibles.
Structure d’un exemple de rapport
Ce constat est illustratif et ne concerne pas votre application. Les rapports réels indiquent le scanner, l’état des preuves et les limites de couverture de la cible.
Scénarios de risque courants
Il s’agit de risques pertinents pour les projets exposition de clés API, pas d’affirmations sur chacun d’eux. Un constat apparaît uniquement lorsqu’un scanner fournit une preuve.
Des identifiants de paiement, IA, cloud ou dépôt peuvent être extraits par tout visiteur.
Chaînes de connexion, secrets de signature et clés service-role peuvent donner un accès direct.
Clés publiables et identifiants analytiques exigent une classification par format et contexte.
Couverture transparente
L’URL, le code connecté et les moteurs approfondis autorisés répondent à des questions différentes. BoringSec sépare les sources et affiche les états partiels, bloqués ou indisponibles.
Lire la méthodologie publique (en anglais)Analyse le document et le JavaScript limité de même origine ; les ressources omises restent partielles.
Reconnaît les formats fournisseurs, clés privées, URL de base et jetons backend pris en charge.
Affiche la source et une valeur masquée, jamais un identifiant réutilisable.
Le code connecté ajoute les fichiers serveur et identifiants non livrés au navigateur.
De l’observation à la vérification
Inspectez la réponse publique et lancez les moteurs en arrière-plan applicables.
Voyez ce qui a été observé, par quel scanner et avec quel niveau de confiance.
Utilisez une correction concrète et le contexte pertinent pour Vérificateur de clés API.
Lancez une nouvelle évaluation ; la surveillance détecte les régressions ultérieures.
Non. Il ne s’authentifie jamais auprès d’un tiers avec un identifiant découvert.
Non. Ils désignent des valeurs visibles ; le risque est d’y placer un secret serveur.
Non. La preuve est masquée tout en conservant le contexte nécessaire.
Non. Formats non pris en charge, ressources inaccessibles et fichiers serveur restent hors couverture URL.
Commencez par l’URL publique. Ajoutez le code ou un contexte authentifié seulement si vous souhaitez étendre la couverture.
Lancer une analyse de sécurité