Vai al contenuto

Segreti esposti nel frontend

Trova credenziali che il frontend può avere reso pubbliche

BoringSec ispeziona ciò che riceve il browser, maschera le evidenze sensibili e non definisce automaticamente una chiave pubblica come perdita.

Usalo dopo modifiche ad ambiente, build, integrazioni o pubblicazione frontend.

Scansiona solo sistemi di tua proprietà o per cui sei autorizzato. I motori approfonditi richiedono un’autorizzazione verificata e possono non essere disponibili.

rapporto / esempio di rilievoIllustrativo
Critico

Esempio di struttura del rapporto

Chiave API server esposta in un bundle

Evidenza
Un formato di segreto supportato appare in una risorsa della stessa origine; il valore è mascherato.
Cosa significa
Una chiave server nel browser è recuperabile senza autenticazione.
Correggi e verifica
Revoca e ruota la chiave, sposta le chiamate sul server, ripubblica e scansiona di nuovo.

Questo rilievo è illustrativo, non è un risultato della tua applicazione. I rapporti reali mostrano scanner, stato dell’evidenza e limiti di copertura del bersaglio.

Percorsi di rischio comuni

Cosa merita un controllo più attento

Sono rischi rilevanti per i progetti esposizione di chiavi API, non affermazioni su ogni progetto. Un rilievo appare solo quando lo scanner fornisce evidenza.

Segreti dei provider in JavaScript

Credenziali di pagamento, IA, cloud e repository possono essere estratte da qualsiasi visitatore.

Token dati privilegiati

Stringhe di connessione, segreti di firma e chiavi service-role possono consentire accesso diretto.

Falsi positivi su identificatori pubblici

Chiavi pubblicabili e ID analitici richiedono classificazione per formato e contesto.

Copertura trasparente

Cosa può dimostrare ogni superficie di scansione

URL, codice collegato e motori approfonditi autorizzati rispondono a domande diverse. BoringSec separa le fonti e mostra stati parziali, bloccati o non disponibili.

Leggi la metodologia pubblica (in inglese)
URL pubblicato

HTML e bundle pubblici

Scansiona il documento e JavaScript limitato della stessa origine; le risorse omesse restano parziali.

URL pubblicato

Formati di credenziali supportati

Riconosce formati supportati di provider, chiavi private, URL database e token backend.

URL pubblicato

Evidenza mascherata

Mostra origine e valore mascherato, non una credenziale riutilizzabile.

Codice collegato

Esposizione solo nel repository

Il codice collegato aggiunge file server e credenziali non distribuite al browser.

Dall’osservazione alla verifica

Un rapporto pensato per l’azione successiva

  1. 01

    Osserva

    Ispeziona la risposta pubblica e avvia i motori in background applicabili.

  2. 02

    Verifica le evidenze

    Controlla cosa è stato osservato, da quale scanner e con quale affidabilità.

  3. 03

    Correggi nel contesto

    Usa una correzione concreta e il contesto rilevante per Verificatore di chiavi API.

  4. 04

    Ripeti il test

    Esegui una nuova valutazione; il monitoraggio rileva regressioni successive.

Domande prima della scansione

BoringSec prova una chiave trovata?

No. Non si autentica mai presso terze parti con credenziali scoperte.

NEXT_PUBLIC e VITE sono sempre pericolosi?

No. Indicano valori visibili nel browser; il rischio è inserirvi un segreto server.

Il rapporto mostra la chiave completa?

No. L’evidenza è mascherata mantenendo il contesto necessario.

Un risultato pulito prova che non esistono chiavi?

No. Formati non supportati, risorse inaccessibili e file server restano fuori dalla scansione URL.

Controlla l’applicazione pubblicata e verifica ogni correzione

Inizia dall’URL pubblico. Aggiungi codice o contesto autenticato solo quando vuoi ampliare la copertura.

Avvia una scansione di sicurezza