Sekrety dostawców w JavaScript
Dane płatności, AI, chmury i repozytorium mogą zostać pobrane przez każdego odwiedzającego.
Ujawnienie sekretów we frontendzie
BoringSec analizuje treść przeglądarki, maskuje wrażliwe dowody i nie nazywa domyślnie publicznych identyfikatorów wyciekiem.
Użyj po zmianach środowiska, builda, integracji lub wdrożenia frontendu.
Skanuj wyłącznie własne systemy lub te, na które masz zgodę. Głębokie silniki wymagają potwierdzonej autoryzacji i mogą być niedostępne.
Przykładowa struktura raportu
To przykładowe znalezisko, a nie wynik Twojej aplikacji. Raporty na żywo pokazują skaner, stan dowodów i ograniczenia pokrycia konkretnego celu.
Typowe ścieżki ryzyka
To wzorce ryzyka istotne dla projektów ujawnienie kluczy API, a nie twierdzenia o każdym projekcie. Znalezisko powstaje tylko wtedy, gdy skaner dostarczy dowód.
Dane płatności, AI, chmury i repozytorium mogą zostać pobrane przez każdego odwiedzającego.
Connection strings, sekrety podpisu i klucze service-role mogą umożliwić bezpośredni dostęp.
Klucze publikowalne i identyfikatory analityczne wymagają klasyfikacji według formatu i kontekstu.
Uczciwe pokrycie
URL, połączony kod i autoryzowane głębokie silniki odpowiadają na różne pytania. BoringSec rozdziela źródła i pokazuje stany częściowe, zablokowane oraz niedostępne.
Przeczytaj publiczną metodologię (po angielsku)Skanuje dokument i ograniczony JavaScript z tego samego źródła; pominięte zasoby pozostają częściowe.
Rozpoznaje obsługiwane formaty dostawców, kluczy prywatnych, URL baz i tokenów backendu.
Pokazuje źródło i maskowaną wartość zamiast danych gotowych do użycia.
Połączony kod dodaje pliki serwera i dane, które nie trafiają do przeglądarki.
Od obserwacji do weryfikacji
Sprawdź publiczną odpowiedź i uruchom odpowiednie silniki w tle.
Zobacz, co zaobserwowano, który skaner to wykrył i z jaką pewnością.
Użyj konkretnej ścieżki naprawy i kontekstu odpowiedniego dla Kontroler kluczy API.
Uruchom nową ocenę; monitoring wykryje późniejsze regresje.
Nie. Nigdy nie uwierzytelnia się u dostawców przy użyciu znalezionych danych.
Nie. Oznaczają wartości widoczne w przeglądarce; problemem jest umieszczenie tam sekretu serwera.
Nie. Dowód jest maskowany, z zachowaniem kontekstu potrzebnego do znalezienia źródła.
Nie. Nieobsługiwane formaty, niedostępne zasoby i pliki serwera są poza skanem URL.
Zacznij od publicznego URL. Kod lub uwierzytelniony kontekst dodaj tylko wtedy, gdy chcesz rozszerzyć pokrycie.
Uruchom skan bezpieczeństwa