Segredos de provedores no JavaScript
Credenciais de pagamentos, IA, nuvem e repositórios podem ser extraídas por visitantes.
Segredos expostos no frontend
A BoringSec inspeciona o que o navegador recebe, mascara evidências sensíveis e não chama identificadores públicos de vazamentos por padrão.
Use após mudanças no ambiente, build, integrações ou publicação frontend.
Escaneie apenas sistemas próprios ou autorizados. Os mecanismos profundos exigem autorização verificada e podem não estar disponíveis para um alvo.
Estrutura de exemplo do relatório
Este achado é ilustrativo, não um resultado da sua aplicação. Relatórios reais mostram o scanner, o estado da evidência e os limites de cobertura do alvo.
Caminhos de risco comuns
São padrões relevantes para projetos exposição de chaves de API, não afirmações sobre todos eles. Um achado só aparece quando o scanner fornece evidência.
Credenciais de pagamentos, IA, nuvem e repositórios podem ser extraídas por visitantes.
Strings de conexão, segredos de assinatura e chaves service-role permitem acesso direto.
Chaves publicáveis e IDs analíticos exigem classificação por formato e contexto.
Cobertura honesta
URL, código conectado e mecanismos profundos autorizados respondem perguntas diferentes. A BoringSec separa as fontes e mostra estados parciais, bloqueados e indisponíveis.
Ler a metodologia pública (em inglês)Escaneia o documento e JavaScript limitado da mesma origem; assets omitidos ficam parciais.
Reconhece formatos de provedores, chaves privadas, URLs de banco e tokens backend.
Mostra a origem e um valor mascarado, não uma credencial reutilizável.
Código conectado adiciona arquivos de servidor e credenciais que não chegam ao navegador.
Da observação à verificação
Inspecione a resposta pública e inicie os mecanismos de segundo plano aplicáveis.
Veja o que foi observado, por qual scanner e com qual confiança.
Use uma correção concreta e o contexto relevante para Verificador de chaves de API.
Execute uma nova avaliação; o monitoramento detecta regressões posteriores.
Não. Ela nunca se autentica em terceiros com credenciais encontradas.
Não. São valores visíveis no navegador; o erro é colocar segredos de servidor neles.
Não. A evidência é mascarada, mantendo apenas contexto suficiente.
Não. Formatos não suportados, assets inacessíveis e arquivos de servidor ficam fora da URL.
Comece pela URL pública. Adicione código ou contexto autenticado apenas quando quiser ampliar a cobertura.
Iniciar varredura de segurança