Przejdź do treści

Ujawnienie sekretów we frontendzie

Znajdź dane, które frontend mógł upublicznić

BoringSec analizuje treść przeglądarki, maskuje wrażliwe dowody i nie nazywa domyślnie publicznych identyfikatorów wyciekiem.

Użyj po zmianach środowiska, builda, integracji lub wdrożenia frontendu.

Skanuj wyłącznie własne systemy lub te, na które masz zgodę. Głębokie silniki wymagają potwierdzonej autoryzacji i mogą być niedostępne.

raport / przykładowe znaleziskoPrzykład
Krytyczne

Przykładowa struktura raportu

Serwerowy klucz API ujawniony w bundle JavaScript

Dowód
Obsługiwany format sekretu występuje w zasobie tego samego źródła; raport maskuje wartość.
Co to oznacza
Klucz serwera w kodzie przeglądarki można pobrać bez logowania.
Napraw i zweryfikuj
Unieważnij i zmień klucz, przenieś wywołania na serwer, wdroż ponownie i przeskanuj.

To przykładowe znalezisko, a nie wynik Twojej aplikacji. Raporty na żywo pokazują skaner, stan dowodów i ograniczenia pokrycia konkretnego celu.

Typowe ścieżki ryzyka

Co wymaga dokładniejszej analizy

To wzorce ryzyka istotne dla projektów ujawnienie kluczy API, a nie twierdzenia o każdym projekcie. Znalezisko powstaje tylko wtedy, gdy skaner dostarczy dowód.

Sekrety dostawców w JavaScript

Dane płatności, AI, chmury i repozytorium mogą zostać pobrane przez każdego odwiedzającego.

Uprzywilejowane tokeny danych

Connection strings, sekrety podpisu i klucze service-role mogą umożliwić bezpośredni dostęp.

Fałszywe alarmy dla publicznych ID

Klucze publikowalne i identyfikatory analityczne wymagają klasyfikacji według formatu i kontekstu.

Uczciwe pokrycie

Co może potwierdzić każda powierzchnia skanowania

URL, połączony kod i autoryzowane głębokie silniki odpowiadają na różne pytania. BoringSec rozdziela źródła i pokazuje stany częściowe, zablokowane oraz niedostępne.

Przeczytaj publiczną metodologię (po angielsku)
Publiczny URL

Publiczny HTML i bundle

Skanuje dokument i ograniczony JavaScript z tego samego źródła; pominięte zasoby pozostają częściowe.

Publiczny URL

Obsługiwane wzorce danych

Rozpoznaje obsługiwane formaty dostawców, kluczy prywatnych, URL baz i tokenów backendu.

Publiczny URL

Maskowany dowód

Pokazuje źródło i maskowaną wartość zamiast danych gotowych do użycia.

Połączony kod

Ujawnienie tylko w repozytorium

Połączony kod dodaje pliki serwera i dane, które nie trafiają do przeglądarki.

Od obserwacji do weryfikacji

Raport prowadzący do następnego działania

  1. 01

    Obserwuj

    Sprawdź publiczną odpowiedź i uruchom odpowiednie silniki w tle.

  2. 02

    Zweryfikuj dowody

    Zobacz, co zaobserwowano, który skaner to wykrył i z jaką pewnością.

  3. 03

    Napraw w kontekście

    Użyj konkretnej ścieżki naprawy i kontekstu odpowiedniego dla Kontroler kluczy API.

  4. 04

    Przetestuj ponownie

    Uruchom nową ocenę; monitoring wykryje późniejsze regresje.

Pytania przed skanem

Czy BoringSec próbuje znalezionego klucza?

Nie. Nigdy nie uwierzytelnia się u dostawców przy użyciu znalezionych danych.

Czy NEXT_PUBLIC i VITE są zawsze niebezpieczne?

Nie. Oznaczają wartości widoczne w przeglądarce; problemem jest umieszczenie tam sekretu serwera.

Czy raport pokazuje pełny klucz?

Nie. Dowód jest maskowany, z zachowaniem kontekstu potrzebnego do znalezienia źródła.

Czy czysty wynik dowodzi braku kluczy?

Nie. Nieobsługiwane formaty, niedostępne zasoby i pliki serwera są poza skanem URL.

Sprawdź wdrożoną aplikację i zweryfikuj każdą poprawkę

Zacznij od publicznego URL. Kod lub uwierzytelniony kontekst dodaj tylko wtedy, gdy chcesz rozszerzyć pokrycie.

Uruchom skan bezpieczeństwa