コンテンツへスキップ

フロントエンドの秘密情報露出

フロントエンドが公開した可能性のある認証情報を検出

ブラウザが受け取る内容を調べ、秘密情報の根拠をマスクし、公開前提の識別子を自動的に漏えい扱いしません。

環境、ビルド、外部サービス連携、フロントエンド公開を変更した後に実行してください。

所有している、または明示的な許可を得たシステムのみをスキャンしてください。詳細エンジンには確認済みの許可が必要で、対象によっては利用できません。

レポート / 検出例例示
重大

レポート構成例

サーバーAPIキーがJavaScriptバンドルに露出

根拠
対応するサーバー秘密鍵形式が同一オリジンアセットにあり、値はマスクされています。
意味
ブラウザコード内のサーバーキーは認証なしで取得できます。
修正と検証
キーを無効化・ローテーションし、呼び出しをサーバー側へ移し、再公開後に再スキャンしてください。

これは説明用の検出例であり、お客様のアプリの結果ではありません。実際のレポートには、スキャナー、根拠の状態、対象ごとのカバレッジ制限が表示されます。

一般的なリスク経路

詳しく確認すべきポイント

これは APIキー露出 プロジェクトに関連するリスクパターンであり、すべてのプロジェクトに問題があるという意味ではありません。根拠が得られた場合のみ検出として表示します。

JavaScript内のプロバイダー秘密鍵

決済、AI、クラウド、リポジトリの認証情報は訪問者が抽出できます。

権限の高いデータトークン

接続文字列、署名シークレット、service-role キーは直接アクセスにつながります。

公開識別子の誤検知

公開可能キーや分析IDは、形式と文脈に基づく分類が必要です。

正直なカバレッジ

各スキャン面で証明できること

公開URL、接続済みソース、許可済み詳細エンジンはそれぞれ別の問いに答えます。BoringSec は根拠を分離し、部分的・ブロック・利用不可の状態を明示します。

公開メソドロジーを読む (英語)
公開URL

公開HTMLとバンドル

文書と限定的な同一オリジンJavaScriptを調べ、除外アセットは部分カバレッジにします。

公開URL

対応認証情報パターン

対応するプロバイダー、秘密鍵、DB URL、バックエンドトークン形式を認識します。

公開URL

マスク済み根拠

再利用可能な値ではなく、出所とマスク済み値を表示します。

接続済みソース

リポジトリのみの露出

接続済みソースから、ブラウザに配信されないサーバーファイルや認証情報を追加確認します。

観測から検証まで

次の行動につながるレポート

  1. 01

    観測

    公開レスポンスを調べ、適用可能なバックグラウンドエンジンを開始します。

  2. 02

    根拠を確認

    何を、どのスキャナーが、どの確度で観測したかを確認します。

  3. 03

    文脈に沿って修正

    APIキーチェッカー に関係する文脈と具体的な修正手順を使います。

  4. 04

    再テスト

    新しい評価を実行し、その後のリグレッションは監視で検出します。

スキャン前の質問

発見したキーを実際に試しますか?

いいえ。発見した認証情報で第三者サービスへログインしません。

NEXT_PUBLIC や VITE は常に危険ですか?

いいえ。ブラウザ公開値を示す接頭辞です。サーバー秘密情報を入れることが問題です。

完全なキーをレポートに表示しますか?

いいえ。出所を特定できる文脈だけを残し、値はマスクします。

問題なしならキーは存在しませんか?

いいえ。未対応形式、取得不能アセット、サーバーファイルはURLスキャン範囲外です。

公開アプリを確認し、すべての修正を検証

まず公開URLから開始し、必要な場合にのみソースや認証済みコンテキストを追加します。

セキュリティスキャンを開始