秘密情報がブラウザへ流出
サーバー認証情報がフロントエンド設定や配信バンドルを通じて公開されることがあります。
Bolt.new アプリのセキュリティ
まず公開URLを確認し、必要な場合のみソースを接続します。BoringSec は観測済みの根拠と、許可やリポジトリアクセスが必要な確認を分離します。
公開前、または認証・データアクセス・依存関係・環境設定を変更した後に適しています。
所有している、または明示的な許可を得たシステムのみをスキャンしてください。詳細エンジンには確認済みの許可が必要で、対象によっては利用できません。
レポート構成例
これは説明用の検出例であり、お客様のアプリの結果ではありません。実際のレポートには、スキャナー、根拠の状態、対象ごとのカバレッジ制限が表示されます。
一般的なリスク経路
これは Bolt.new プロジェクトに関連するリスクパターンであり、すべてのプロジェクトに問題があるという意味ではありません。根拠が得られた場合のみ検出として表示します。
サーバー認証情報がフロントエンド設定や配信バンドルを通じて公開されることがあります。
有効なセッションだけでは、サーバー側の所有権確認がないデータを保護できません。
高速な変更で、許可の広いポリシー、デバッグ経路、脆弱なパッケージが残ることがあります。
正直なカバレッジ
公開URL、接続済みソース、許可済み詳細エンジンはそれぞれ別の問いに答えます。BoringSec は根拠を分離し、部分的・ブロック・利用不可の状態を明示します。
公開メソドロジーを読む (英語)外部から観測できる TLS、ヘッダー、Cookie、CORS、公開ファイル、技術情報を確認します。
同一オリジンの限定されたバンドルを調べ、取得できない部分は部分カバレッジとして記録します。
Nuclei、OWASP ZAP、Medusa は許可確認済みかつ利用可能な場合のみ実行します。
明示的に接続したリポジトリから、秘密情報、認証、依存関係のシグナルを追加します。
観測から検証まで
公開レスポンスを調べ、適用可能なバックグラウンドエンジンを開始します。
何を、どのスキャナーが、どの確度で観測したかを確認します。
Bolt に関係する文脈と具体的な修正手順を使います。
新しい評価を実行し、その後のリグレッションは監視で検出します。
不要です。URLスキャンは公開面のみを観測し、リポジトリと認証済み文脈は別途明示的に接続します。
外部から観測できる根拠は示せますが、非公開コードや認証後フローの安全性までは証明できません。
いいえ。未評価、ブロック、利用不可の範囲は合格扱いにせず明示します。
公開フローは限定リクエストのみで、発見した認証情報を使わず、意図的にデータを変更しません。
まず公開URLから開始し、必要な場合にのみソースや認証済みコンテキストを追加します。
セキュリティスキャンを開始