JavaScript内のプロバイダー秘密鍵
決済、AI、クラウド、リポジトリの認証情報は訪問者が抽出できます。
フロントエンドの秘密情報露出
ブラウザが受け取る内容を調べ、秘密情報の根拠をマスクし、公開前提の識別子を自動的に漏えい扱いしません。
環境、ビルド、外部サービス連携、フロントエンド公開を変更した後に実行してください。
所有している、または明示的な許可を得たシステムのみをスキャンしてください。詳細エンジンには確認済みの許可が必要で、対象によっては利用できません。
レポート構成例
これは説明用の検出例であり、お客様のアプリの結果ではありません。実際のレポートには、スキャナー、根拠の状態、対象ごとのカバレッジ制限が表示されます。
一般的なリスク経路
これは APIキー露出 プロジェクトに関連するリスクパターンであり、すべてのプロジェクトに問題があるという意味ではありません。根拠が得られた場合のみ検出として表示します。
決済、AI、クラウド、リポジトリの認証情報は訪問者が抽出できます。
接続文字列、署名シークレット、service-role キーは直接アクセスにつながります。
公開可能キーや分析IDは、形式と文脈に基づく分類が必要です。
正直なカバレッジ
公開URL、接続済みソース、許可済み詳細エンジンはそれぞれ別の問いに答えます。BoringSec は根拠を分離し、部分的・ブロック・利用不可の状態を明示します。
公開メソドロジーを読む (英語)文書と限定的な同一オリジンJavaScriptを調べ、除外アセットは部分カバレッジにします。
対応するプロバイダー、秘密鍵、DB URL、バックエンドトークン形式を認識します。
再利用可能な値ではなく、出所とマスク済み値を表示します。
接続済みソースから、ブラウザに配信されないサーバーファイルや認証情報を追加確認します。
観測から検証まで
公開レスポンスを調べ、適用可能なバックグラウンドエンジンを開始します。
何を、どのスキャナーが、どの確度で観測したかを確認します。
APIキーチェッカー に関係する文脈と具体的な修正手順を使います。
新しい評価を実行し、その後のリグレッションは監視で検出します。
いいえ。発見した認証情報で第三者サービスへログインしません。
いいえ。ブラウザ公開値を示す接頭辞です。サーバー秘密情報を入れることが問題です。
いいえ。出所を特定できる文脈だけを残し、値はマスクします。
いいえ。未対応形式、取得不能アセット、サーバーファイルはURLスキャン範囲外です。
まず公開URLから開始し、必要な場合にのみソースや認証済みコンテキストを追加します。
セキュリティスキャンを開始