亚汇网援引博文介绍,本次报告目标重点排查隐藏在JavaScript打包文件中的机密信息,扫描生成的纯文本报告超过100MB,共计发现超过42000个暴露的凭证,涵盖334种不同类型的机密信息。在泄露的机密信息中,代码仓库token(如GitHub和GitLab)的风险最高。研究人员发现了688个此类token,其中许多不仅处于激活状态,还拥有对私有仓库的完全访问权限,甚至能解锁CI/CD流水线中的AWS和SSH密钥。此外,项目管理工具(如Linear)的API密钥也被直接嵌入前端代码,导致整个组织的内部工单、项目细节及下游服务链接全部暴露。其他泄露还涉及CAD设计图纸、邮件列表数据以及数百个活跃的聊天软件Webhook。为何如此多的机密信息被遗漏?该公司认为根本原因在于传统的自动化扫描工具“不懂”JavaScript。旧式扫描器通常只检查已知的URL路径并匹配正则模式,却不会像浏览器一样执行JavaScript或渲染页面。以单页应用(SPA)为例,扫描器往往只请求基础URL,而忽略了负责页面渲染的JavaScript文件,导致隐藏其中的凭证完全逃过了检测。尽管静态应用程序安全测试(SAST)能分析源代码,但它无法覆盖构建过程中引入的机密信息。许多凭证是在代码打包和部署阶段才“溜”进前端文件的,这超出了静态分析的检测范围。另一方面,动态应用程序安全测试(DAST)虽然功能强大,支持应用爬取和身份验证,但因其昂贵且配置复杂,通常仅用于极少数核心应用,无法覆盖企业广泛的数字资产。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
风险提示
外汇交易涉及高风险,可能不适合所有投资者。杠杆交易可能导致快速亏损,请确保您完全理解相关风险。过往表现不代表未来结果。
本分析仅供参考,不构成投资建议。投资者应根据自身情况做出独立判断,并承担相应风险。