虽然网络安全公司Intruder的报告显示,全球500万款App里有4.2万个密钥直接暴露在JS文件中,AI也帮着生成了报告。但对于这次扫描背后的深层次原因,研究者们认为是因为传统工具根本不理解动态代码的运行逻辑。传统的自动化扫描器只会盯着固定的URL路径和固定的正则表达式去匹配,完全不会像浏览器那样去执行JavaScript或者渲染页面。对于SPA这种单页应用来说,扫描器往往只请求基础的那个URL地址,而不会去管负责页面渲染的JS文件,这就给了隐藏在其中的凭证一个彻底逃脱检测的机会。虽然静态应用程序安全测试(SAST)可以分析源代码,但它无法覆盖到构建过程中引入的那些机密信息。许多凭证是在代码打包和部署阶段才悄悄溜进前端文件的,这超出了静态分析的检测范围。动态应用程序安全测试(DAST)虽然功能强大支持应用爬取和身份验证,但因为昂贵且配置复杂,通常只给核心应用用,没法覆盖企业广泛的数字资产。 内容是AI智能生成的IT之家消息提到,Intruder发布的报告深度扫描了全球500万款应用,发现超过4.2万个机密信息以明文形式暴露在JavaScript文件中。IT之家援引博文介绍说,本次报告重点是排查隐藏在JavaScript打包文件里的机密信息。扫描出来的纯文本报告超过100MB,总共发现了超过42000个暴露的凭证,涵盖334种不同类型的机密信息。在泄露的机密信息里,代码仓库token(比如GitHub和GitLab)的风险最高。研究人员发现了688个这类token,其中不少不仅还在激活状态,还拥有对私有仓库的完全访问权限,甚至能解锁CI/CD流水线中的AWS和SSH密钥。另外项目管理工具Linear的API密钥也被直接嵌入前端代码了,导致整个组织的内部工单、项目细节以及下游服务链接全都暴露出来了。还有泄露涉及到了CAD设计图纸、邮件列表数据以及数百个活跃的聊天软件Webhook。