콘텐츠로 건너뛰기

프론트엔드 시크릿 노출

프론트엔드가 공개했을 수 있는 자격 증명 찾기

브라우저가 받는 내용을 검사하고 시크릿 근거를 마스킹하며 공개용 식별자를 자동으로 유출로 판단하지 않습니다.

환경, 빌드, 공급자 연동, 프론트엔드 배포 변경 후 사용하세요.

소유하거나 명시적으로 허가받은 시스템만 스캔하세요. 심층 엔진에는 확인된 권한이 필요하며 대상에 따라 사용할 수 없을 수 있습니다.

보고서 / 예시 발견예시
치명적

보고서 구조 예시

서버 API 키가 JavaScript 번들에 노출됨

근거
지원되는 서버 시크릿 형식이 동일 출처 자산에 있으며 보고서는 값을 마스킹합니다.
의미
브라우저 코드의 서버 키는 인증 없이 가져갈 수 있습니다.
수정 및 검증
키를 폐기·교체하고 호출을 서버로 이동한 뒤 재배포하고 다시 스캔하세요.

이는 설명을 위한 예시이며 고객 애플리케이션의 결과가 아닙니다. 실제 보고서는 스캐너, 근거 상태, 대상별 커버리지 한계를 표시합니다.

일반적인 위험 경로

더 자세히 살펴볼 항목

이는 API 키 노출 프로젝트와 관련된 위험 패턴이며 모든 프로젝트에 문제가 있다는 뜻은 아닙니다. 스캐너 근거가 있을 때만 발견 항목이 생성됩니다.

JavaScript의 공급자 시크릿

결제, AI, 클라우드, 저장소 자격 증명을 방문자가 추출할 수 있습니다.

권한 데이터 토큰

연결 문자열, 서명 시크릿, service-role 키가 직접 접근을 허용할 수 있습니다.

공개 식별자의 오탐

공개 가능 키와 분석 ID는 형식과 컨텍스트 기반 분류가 필요합니다.

정직한 커버리지

각 스캔 표면이 입증할 수 있는 범위

공개 URL, 연결된 소스, 승인된 심층 엔진은 서로 다른 질문에 답합니다. BoringSec은 근거를 분리하고 부분적·차단됨·사용 불가 상태를 명시합니다.

공개 방법론 읽기 (영어)
공개 URL

공개 HTML 및 번들

문서와 제한된 동일 출처 JavaScript를 검사하고 누락 자산은 부분 커버리지로 남깁니다.

공개 URL

지원 자격 증명 패턴

지원 공급자, 개인 키, DB URL, 백엔드 토큰 형식을 인식합니다.

공개 URL

마스킹된 근거

재사용 가능한 값 대신 출처와 마스킹 값을 표시합니다.

연결된 소스

저장소 전용 노출

연결 소스에서 브라우저에 배포되지 않는 서버 파일과 자격 증명을 추가합니다.

관찰에서 검증까지

다음 조치를 위한 보고서

  1. 01

    관찰

    공개 응답을 검사하고 적용 가능한 백그라운드 엔진을 시작합니다.

  2. 02

    근거 확인

    무엇을 어떤 스캐너가 어느 신뢰도로 관찰했는지 확인합니다.

  3. 03

    맥락에 맞게 수정

    API 키 검사기 관련 맥락과 구체적인 수정 경로를 사용합니다.

  4. 04

    재테스트

    새 평가를 실행하고 이후 회귀는 모니터링으로 감지합니다.

스캔 전 질문

발견한 키를 실제로 시험하나요?

아니요. 발견한 자격 증명으로 제3자 서비스에 인증하지 않습니다.

NEXT_PUBLIC과 VITE는 항상 위험한가요?

아니요. 브라우저 공개 값을 의미하며 서버 시크릿을 넣는 것이 문제입니다.

전체 키를 보고서에 표시하나요?

아니요. 출처를 찾을 수 있는 컨텍스트만 남기고 값은 마스킹합니다.

깨끗한 결과면 키가 없나요?

아니요. 미지원 형식, 접근 불가 자산, 서버 파일은 URL 스캔 범위 밖입니다.

배포된 애플리케이션을 확인하고 모든 수정을 검증하세요

공개 URL부터 시작하고 필요한 경우에만 소스 또는 인증된 컨텍스트를 추가하세요.

보안 스캔 시작