Ga naar inhoud

Frontend-secretblootstelling

Vind referenties die de frontend openbaar heeft gemaakt

BoringSec inspecteert browserinhoud, maskeert gevoelig bewijs en noemt bedoelde openbare identificatoren niet standaard een lek.

Gebruik dit na wijzigingen aan omgeving, build, integratie of frontenduitrol.

Scan alleen eigen systemen of systemen waarvoor je toestemming hebt. Diepe engines vereisen geverifieerde toestemming en kunnen niet beschikbaar zijn.

rapport / voorbeeldbevindingIllustratief
Kritiek

Voorbeeld van de rapportstructuur

Server-API-sleutel blootgesteld in JavaScript-bundel

Bewijs
Een ondersteund serversecretformaat staat in een same-originasset; het rapport maskeert de waarde.
Wat dit betekent
Een serversleutel in browsercode is zonder authenticatie op te halen.
Herstellen en verifiëren
Trek de sleutel in en roteer deze, verplaats provideroproepen naar de server, rol opnieuw uit en scan opnieuw.

Deze bevinding is illustratief en geen resultaat voor jouw applicatie. Live-rapporten tonen de scanner, bewijsstatus en dekkingsgrenzen van het echte doelwit.

Veelvoorkomende risicopaden

Wat nader onderzoek verdient

Dit zijn relevante risicopatronen voor blootstelling van API-sleutels-projecten, geen uitspraken over elk project. Een bevinding verschijnt alleen met scannerbewijs.

Providersecrets in JavaScript

Referenties voor betaling, AI, cloud of repositories kunnen door bezoekers worden geëxtraheerd.

Bevoorrechte datatokens

Verbindingsstrings, signingsecrets en service-rolesleutels kunnen directe toegang geven.

Valse meldingen voor openbare identifiers

Publiceerbare sleutels en analytics-ID’s vragen om format- en contextclassificatie.

Eerlijke dekking

Wat elk scanoppervlak kan bewijzen

URL, gekoppelde broncode en geautoriseerde diepe engines beantwoorden andere vragen. BoringSec houdt bronnen gescheiden en toont gedeeltelijke, geblokkeerde en niet-beschikbare statussen.

Lees de openbare methodologie (in het Engels)
Live-URL

Openbare HTML en bundels

Scant het document en begrensde same-origin-JavaScript; weggelaten assets blijven gedeeltelijk.

Live-URL

Ondersteunde referentiepatronen

Herkent ondersteunde provider-, privésleutel-, database-URL- en backendtokenformaten.

Live-URL

Gemaskeerd bewijs

Toont bron en gemaskeerde waarde in plaats van een herbruikbare referentie.

Gekoppelde broncode

Alleen in repository zichtbare blootstelling

Gekoppelde broncode voegt serverbestanden en niet naar browsers geleverde referenties toe.

Van observatie naar verificatie

Een rapport voor de volgende actie

  1. 01

    Observeren

    Inspecteer de openbare respons en start toepasselijke achtergrond-engines.

  2. 02

    Bewijs verifiëren

    Bekijk wat is waargenomen, door welke scanner en met welk vertrouwen.

  3. 03

    In context herstellen

    Gebruik een concrete herstelroute en de relevante API-sleutelcontrole-context.

  4. 04

    Opnieuw testen

    Voer een nieuwe beoordeling uit; monitoring detecteert latere regressies.

Vragen vóór de scan

Probeert BoringSec een gevonden sleutel?

Nee. Er wordt nooit met gevonden referenties bij derden geauthenticeerd.

Zijn NEXT_PUBLIC en VITE altijd onveilig?

Nee. Ze markeren browserzichtbare waarden; het probleem is een serversecret daarin plaatsen.

Toont het rapport de volledige sleutel?

Nee. Bewijs wordt gemaskeerd met genoeg context om de bron te vinden.

Bewijst een schoon resultaat dat er geen sleutel bestaat?

Nee. Niet-ondersteunde formaten, ontoegankelijke assets en serverbestanden vallen buiten URL-dekking.

Controleer de uitgerolde applicatie en verifieer elke oplossing

Begin met de openbare URL. Voeg broncode of geauthenticeerde context alleen toe als je de dekking wilt uitbreiden.

Start een beveiligingsscan