JavaScript의 공급자 시크릿
결제, AI, 클라우드, 저장소 자격 증명을 방문자가 추출할 수 있습니다.
프론트엔드 시크릿 노출
브라우저가 받는 내용을 검사하고 시크릿 근거를 마스킹하며 공개용 식별자를 자동으로 유출로 판단하지 않습니다.
환경, 빌드, 공급자 연동, 프론트엔드 배포 변경 후 사용하세요.
소유하거나 명시적으로 허가받은 시스템만 스캔하세요. 심층 엔진에는 확인된 권한이 필요하며 대상에 따라 사용할 수 없을 수 있습니다.
보고서 구조 예시
이는 설명을 위한 예시이며 고객 애플리케이션의 결과가 아닙니다. 실제 보고서는 스캐너, 근거 상태, 대상별 커버리지 한계를 표시합니다.
일반적인 위험 경로
이는 API 키 노출 프로젝트와 관련된 위험 패턴이며 모든 프로젝트에 문제가 있다는 뜻은 아닙니다. 스캐너 근거가 있을 때만 발견 항목이 생성됩니다.
결제, AI, 클라우드, 저장소 자격 증명을 방문자가 추출할 수 있습니다.
연결 문자열, 서명 시크릿, service-role 키가 직접 접근을 허용할 수 있습니다.
공개 가능 키와 분석 ID는 형식과 컨텍스트 기반 분류가 필요합니다.
정직한 커버리지
공개 URL, 연결된 소스, 승인된 심층 엔진은 서로 다른 질문에 답합니다. BoringSec은 근거를 분리하고 부분적·차단됨·사용 불가 상태를 명시합니다.
공개 방법론 읽기 (영어)문서와 제한된 동일 출처 JavaScript를 검사하고 누락 자산은 부분 커버리지로 남깁니다.
지원 공급자, 개인 키, DB URL, 백엔드 토큰 형식을 인식합니다.
재사용 가능한 값 대신 출처와 마스킹 값을 표시합니다.
연결 소스에서 브라우저에 배포되지 않는 서버 파일과 자격 증명을 추가합니다.
관찰에서 검증까지
공개 응답을 검사하고 적용 가능한 백그라운드 엔진을 시작합니다.
무엇을 어떤 스캐너가 어느 신뢰도로 관찰했는지 확인합니다.
API 키 검사기 관련 맥락과 구체적인 수정 경로를 사용합니다.
새 평가를 실행하고 이후 회귀는 모니터링으로 감지합니다.
아니요. 발견한 자격 증명으로 제3자 서비스에 인증하지 않습니다.
아니요. 브라우저 공개 값을 의미하며 서버 시크릿을 넣는 것이 문제입니다.
아니요. 출처를 찾을 수 있는 컨텍스트만 남기고 값은 마스킹합니다.
아니요. 미지원 형식, 접근 불가 자산, 서버 파일은 URL 스캔 범위 밖입니다.
공개 URL부터 시작하고 필요한 경우에만 소스 또는 인증된 컨텍스트를 추가하세요.
보안 스캔 시작