Ir para o conteúdo

Segredos expostos no frontend

Encontre credenciais que o frontend pode ter tornado públicas

A BoringSec inspeciona o que o navegador recebe, mascara evidências sensíveis e não chama identificadores públicos de vazamentos por padrão.

Use após mudanças no ambiente, build, integrações ou publicação frontend.

Escaneie apenas sistemas próprios ou autorizados. Os mecanismos profundos exigem autorização verificada e podem não estar disponíveis para um alvo.

relatório / achado de exemploIlustrativo
Crítico

Estrutura de exemplo do relatório

Chave de API privada exposta em bundle

Evidência
Um formato de segredo suportado aparece em asset da mesma origem; o relatório mascara o valor.
O que significa
Uma chave de servidor no navegador pode ser obtida sem autenticação.
Corrigir e verificar
Revogue e gire a chave, mova chamadas ao servidor, publique novamente e escaneie.

Este achado é ilustrativo, não um resultado da sua aplicação. Relatórios reais mostram o scanner, o estado da evidência e os limites de cobertura do alvo.

Caminhos de risco comuns

O que merece análise mais cuidadosa

São padrões relevantes para projetos exposição de chaves de API, não afirmações sobre todos eles. Um achado só aparece quando o scanner fornece evidência.

Segredos de provedores no JavaScript

Credenciais de pagamentos, IA, nuvem e repositórios podem ser extraídas por visitantes.

Tokens de dados privilegiados

Strings de conexão, segredos de assinatura e chaves service-role permitem acesso direto.

Falsos positivos em IDs públicos

Chaves publicáveis e IDs analíticos exigem classificação por formato e contexto.

Cobertura honesta

O que cada superfície de varredura pode provar

URL, código conectado e mecanismos profundos autorizados respondem perguntas diferentes. A BoringSec separa as fontes e mostra estados parciais, bloqueados e indisponíveis.

Ler a metodologia pública (em inglês)
URL ao vivo

HTML e bundles públicos

Escaneia o documento e JavaScript limitado da mesma origem; assets omitidos ficam parciais.

URL ao vivo

Padrões de credenciais suportados

Reconhece formatos de provedores, chaves privadas, URLs de banco e tokens backend.

URL ao vivo

Evidência mascarada

Mostra a origem e um valor mascarado, não uma credencial reutilizável.

Código conectado

Exposição somente no repositório

Código conectado adiciona arquivos de servidor e credenciais que não chegam ao navegador.

Da observação à verificação

Um relatório voltado à próxima ação

  1. 01

    Observar

    Inspecione a resposta pública e inicie os mecanismos de segundo plano aplicáveis.

  2. 02

    Verificar evidências

    Veja o que foi observado, por qual scanner e com qual confiança.

  3. 03

    Corrigir com contexto

    Use uma correção concreta e o contexto relevante para Verificador de chaves de API.

  4. 04

    Testar novamente

    Execute uma nova avaliação; o monitoramento detecta regressões posteriores.

Perguntas antes de escanear

A BoringSec testa uma chave descoberta?

Não. Ela nunca se autentica em terceiros com credenciais encontradas.

NEXT_PUBLIC e VITE são sempre inseguros?

Não. São valores visíveis no navegador; o erro é colocar segredos de servidor neles.

O relatório mostra a chave completa?

Não. A evidência é mascarada, mantendo apenas contexto suficiente.

Resultado limpo prova que não há chaves?

Não. Formatos não suportados, assets inacessíveis e arquivos de servidor ficam fora da URL.

Verifique a aplicação publicada e valide cada correção

Comece pela URL pública. Adicione código ou contexto autenticado apenas quando quiser ampliar a cobertura.

Iniciar varredura de segurança