IT之家 2 月 18 日消息，網(wǎng)絡(luò)安全公司 Intruder 上月發(fā)布報(bào)告，深度掃描全球 500 萬(wàn)款應(yīng)用，發(fā)現(xiàn)超過(guò) 4.2 萬(wàn)個(gè)機(jī)密信息（Secrets）以明文形式暴露在 JavaScript 文件中。

IT之家援引博文介紹，本次報(bào)告目標(biāo)重點(diǎn)排查隱藏在 JavaScript 打包文件中的機(jī)密信息，掃描生成的純文本報(bào)告超過(guò) 100MB，共計(jì)發(fā)現(xiàn)超過(guò) 42000 個(gè)暴露的憑證，涵蓋 334 種不同類型的機(jī)密信息。

在泄露的機(jī)密信息中，代碼倉(cāng)庫(kù) token（如 GitHub 和 GitLab）的風(fēng)險(xiǎn)最高。研究人員發(fā)現(xiàn)了 688 個(gè)此類 token，其中許多不僅處于激活狀態(tài)，還擁有對(duì)私有倉(cāng)庫(kù)的完全訪問(wèn)權(quán)限，甚至能解鎖 CI / CD 流水線中的 AWS 和 SSH 密鑰。

此外，項(xiàng)目管理工具（如 Linear）的 API 密鑰也被直接嵌入前端代碼，導(dǎo)致整個(gè)組織的內(nèi)部工單、項(xiàng)目細(xì)節(jié)及下游服務(wù)鏈接全部暴露。其他泄露還涉及 CAD 設(shè)計(jì)圖紙、郵件列表數(shù)據(jù)以及數(shù)百個(gè)活躍的聊天軟件 Webhook。

為何如此多的機(jī)密信息被遺漏？該公司認(rèn)為根本原因在于傳統(tǒng)的自動(dòng)化掃描工具“不懂” JavaScript。

舊式掃描器通常只檢查已知的 URL 路徑并匹配正則模式，卻不會(huì)像瀏覽器一樣執(zhí)行 JavaScript 或渲染頁(yè)面。以單頁(yè)應(yīng)用（SPA）為例，掃描器往往只請(qǐng)求基礎(chǔ) URL，而忽略了負(fù)責(zé)頁(yè)面渲染的 JavaScript 文件，導(dǎo)致隱藏其中的憑證完全逃過(guò)了檢測(cè)。

盡管靜態(tài)應(yīng)用程序安全測(cè)試（SAST）能分析源代碼，但它無(wú)法覆蓋構(gòu)建過(guò)程中引入的機(jī)密信息。許多憑證是在代碼打包和部署階段才“溜”進(jìn)前端文件的，這超出了靜態(tài)分析的檢測(cè)范圍。

另一方面，動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST）雖然功能強(qiáng)大，支持應(yīng)用爬取和身份驗(yàn)證，但因其昂貴且配置復(fù)雜，通常僅用于極少數(shù)核心應(yīng)用，無(wú)法覆蓋企業(yè)廣泛的數(shù)字資產(chǎn)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。