Gefilterte API-Schlüssel haben lange aufgehört, eine Anekdote zu sein; aber die reale Größe des Problems, wenn diese Anmeldeinformationen innerhalb des Frontend-Codes erscheinen - speziell in JavaScript-Bündeln - ist bis zu den letzten Studien weitgehend unsichtbar geblieben. Ein technisches Team hat eine neue Technik entwickelt, um Geheimnisse zu erkennen und sie auf Millionen von Anwendungen mit einem klaren Ziel anzuwenden: die Geräte zu analysieren, die in der Produktion eingesetzt werden, nicht nur der Quellcode. Die Feststellung war stark und zeigt eine beunruhigende Lücke in der Sicherheitskette von Einseitenanwendungen (SPA).
Bei der Anwendung dieser Methode auf Skalen generierten Forscher ein beeindruckendes Ergebnis: Die Ausgabedatei besetzte mehr als 100 MB in flachem Text und enthielt Zehntausende von freigelegten Zeichen, die realen Anmeldeinformationen entsprechen könnten. Konkret betete der Scan für die Entstehung von Tausenden von verschiedenen Geheimnissen, verteilt in Hunderten von verschiedenen Arten, und viele von ihnen waren nicht Testtasten oder inaktiven Token; sie waren Anmeldeinformationen mit realer Erlaubnis über Dienstleistungen in der Produktion. Dieser Unterschied zwischen "erwarteter Schlüssel" und "aktiver Zugangsberechtigung" markiert die Schwerkraft der Erkenntnis.
Zu den schädlichsten Expositionen gehörten Token von Repository-Plattformen wie GitHub oder GitLab. Diese Anmeldeinformationen, wenn aktiv und mit umfangreichen Berechtigungen, geben Sie den Eingabeschlüssel zu Code und Pipelines, und können Zugriff auf zusätzliche Geheimnisse, die in CI / CD-Integrationen, Cloud-Speicher und SSH-Tasten verwendet werden. Sie erschienen auch Schlüssel zu Projektmanagement-Tools, die es Ihnen ermöglichen, interne Tickets und organisatorische Metadaten, aktive Chat- und Automatisierungs-Webbücher (einschließlich Zehner von Slack und Zapier), CAD-Software-APIs mit sensiblen Projektinformationen, Dokument-Konvertierungsdienste, kommerzielle Intelligenz Plattformen und Link kürzere, die Sie erstellen und Liste potenziell gefährliche URLs.
Wie ist das alles möglich, um die sichtbaren Produktionsbündel zu erreichen? Die Antwort ist in einer Kombination von Fehlern im Softwarelebenszyklus und in den Einschränkungen der üblichen Sicherheitstools. Viele Organisationen verlassen sich auf Scanner, die auf Repositorien oder statische Quellcode-Analysen (SAST) arbeiten. Diese Tools sind wertvoll und erfassen Anmeldeinformationen, die direkt in die Repository-Dateien codiert sind, aber sie decken nicht immer das, was später geschieht: Der Konstruktions- und Bereitstellungsprozess kann Artefakte einführen, transformieren oder mischen, so dass die Routen, durch die bestimmte Geheimnisse eingegeben werden, nicht dem entsprechen, was in der Codekontrolle inspiziert wird.
Andererseits machen traditionelle Infrastrukturscanner oder viele automatische Erkennungsvorlagen sehr einfache Analysen: Sie verlangen eine Basis-URL, prüfen die direkte Antwort und wenden regelmäßige Ausdrücke auf die Suche nach bekannten Mustern an. Das funktioniert in vielen Fällen, aber es hat eine offensichtliche Grenze: es führt nicht das JavaScript der Seite oder laden Sie die Bündel, die der Browser lädt, um ein SPA zu machen. Dadurch können die gepackten Dateien, die Token enthalten, außerhalb des Geltungsbereichs dieser Kontrollen verbleiben.
Es gibt Tools für dynamisches Scannen (DAST), die einen kopflosen Browser ausführen, authentifizieren und die Anwendung gründlicher durchlaufen können, und somit Vektoren erkennen, dass die statischen oder Infrastruktur-Scanner nicht erreichen. DAST ist jedoch oft teurer, komplex zu konfigurieren und gilt in der Praxis für eine geringe Anzahl von Anwendungen, die als hochwertig angesehen werden. Eine vollständige DAST für den gesamten Anwendungspark eines Unternehmens ist selten, und außerdem haben viele Implementierungen nicht alle regelmäßigen Unterschriften oder Ausdrücke notwendig, um die Vielfalt der Geheimnisse zu identifizieren, die auftreten können.
Ein praktisches Beispiel für aktuelle Einschränkungen ist die GitLab persönliche Token-Detektionsvorlage in ProjectDiscovery Repositories für Nuclei. Diese Vorlage übernimmt eine Basis-URL, prüft die erste Antwort und, wenn Sie ein Muster finden, das wie ein Token aussieht, macht einen Aufruf an die öffentliche API, um zu bestätigen, ob es aktiv ist. Es ist eine effektive Logik in bestimmten Kontexten, aber es ersetzt nicht die Fähigkeit, alle Ressourcen, die eine Seite lädt beim Besuch eines echten Browsers, wie JavaScript-Bündel, die oft die Geheimnisse nach der Konstruktion enthalten (Beispiel des Repository: Nuclei Vorlage für GitLab persönliche Token)
Dadurch wird ein Blindbereich geöffnet, den weder die Repository-Scanner noch viele Infrastruktur-Scanner abdecken, und dass DAST nur anspricht, wenn es groß angelegt wird. Die Folge ist, dass während der Bauphase oder durch Einsatzpipelines eingeführte Geheimnisse in Produktionsartefakten enden können, ohne dass die "Schichtlinke"-Steuerelemente (diejenigen, die die Sicherheit auf frühe Stadien wie Entwicklung und Repository schieben) sie erkennen.
In diesem Zusammenhang besteht die Lösung darin, bestehende Praktiken nicht aufzugeben, sondern zu ergänzen. Frühe Überprüfungen im Entwicklungszyklus und die Integration von geheimen Scannen in Repositories und in CI / CD-Umgebungen bleiben unerlässlich - aus irgendeinem Grund empfehlen Referenzagenturen geheimes Management und Früherkennung. OWASP bietet beispielsweise Anleitungen zum Umgang mit Geheimnissen und zur Verringerung des Expositionsrisikos in Entwicklungs- und Produktionsumgebungen ( OWASP Secrets Management Cheat Sheet)
Aber zusätzlich ist es notwendig, die letzten Artefakte zu überprüfen, die das Web erreichen: Scannen Sie die veröffentlichten JavaScript-Bündel, simulieren Sie die Ausführung des SPA mit einem automatisierten Browser, um die Ressourcen, die der Client tatsächlich verwendet, herunterzuladen, und überprüfen Sie, dass es keine ausgesetzten Token oder empfindlichen Endpunkte. Scannen von Tools, die die in der Produktion gelieferten Dateien analysieren und SPAs Spinnen durchführen helfen, diese Lücke zu schließen. Darüber hinaus haben öffentliche Repository-Plattformen geheime Erkennungsfunktionen entwickelt, die aktiviert werden sollten; GitHub bietet zum Beispiel integrierte geheime Scandienste an, um Lecks in Commons und Repositories ( GitHubs Dokumentation zum geheimen Scannen)
Auf der Ebene der guten operativen Praxis besteht die Empfehlung darin, das Risiko durch Einschränkung von Genehmigungen (das Prinzip von weniger Privilegien), automatische Rotation von Schlüsselverpflichtungen und die Annahme von geheimen Managementsystemen zu minimieren, in denen die Anmeldeinformationen nie Teil des Quellcodes oder statischer Geräte sind. Es ist auch angebracht, die Verwendung von Token in Dritten zu überprüfen, ihre Reichweite und Prüfung zu begrenzen, die und was sie verwendet. Für bestimmte Token von Plattformen wie GitLab gibt es Dokumentationen über die Nutzung und Einschränkung von persönlichen Zugriffstoken, die helfen, sicherere Berechtigungen zu entwerfen ( GitLab: Persönlicher Zugriff)
Das Risiko steigt tendenziell, da Workflows automatisiert werden und der Einsatz von IA-generierten Code in Pipelines wächst: Wenn Validierungen ohne ausreichende Kontrollen auf automatische Prozesse migrieren, können gültige Anmeldeinformationen ohne ausreichende menschliche Überprüfung in Geräte eingefügt werden. Aus diesem Grund sollte die Strategie das Scannen nicht nur des Quellcodes, sondern auch der Pakete und Pakete umfassen, die Kunden erreichen, und integrierte automatisierte Überprüfungen während der Bauphase, um Geheimnisse vor der Bereitstellung zu erkennen und zu blockieren.
Die Lektion ist klar: Die Sicherheit der Front ist nicht auf die im Projektarchiv angewendeten Richtlinien beschränkt. Das Fenster, das sich bei der Konstruktion und Lieferung von Artefakten öffnet, muss geschlossen werden. Werkzeuge, die statische Analyse, Dynamik mit realer Navigation und Scannen von bereitgestellten Geräten kombinieren, ermöglichen es, Probleme zu erkennen, die sonst klar sein werden, bis ein Angreifer sie findet. Für Organisationen mit großen Anwendungsparks besteht die Alternative darin, kritische Anmeldeinformationen zu riskieren, die in der Produktion sichtbar bleiben und somit einen opportunistischen Zugangsweg für schädliche Akteure.
Wenn Sie in Arbeit gehen wollen, die dieses Problem auf einem großen oder kommerziellen Lösungen, die bereits geheime Erkennung in SPA-Bündel enthalten, behandelt, die Forschung veröffentlicht von den Teams, die dieses Phänomen studieren und die Seiten von Sicherheitsanbietern bieten nützliche Ressourcen, um Umfang und Minderung zu verstehen. Zusätzlich zu OWASP's Guides und Repository-Funktionalitäten, überprüfen geheime Management-Praktiken und bewerten die Aufnahme von Artefakten Scans in Ihre Pipeline sind praktische und dringende Schritte, um die Exposition zu reduzieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Mini Shai-Hulud: der Angriff, der die Abhängigkeiten in Massenintrusionsvektoren verwandelte
Zusammenfassung des Vorfalls: GitHub untersucht unbefugten Zugriff auf interne Repositories, nachdem der als TeamPCP bekannte Schauspieler den angeblichen Quellcode und interne ...
Sicherheitsalert: CVE-2026-45829 stellt Chroma DB zur Remote-Code-Ausführung ohne Authentifizierung
Ein kritischer Fehler in der ChromaDB Python API - die beliebte Vektorbasis, die für die Wiederherstellung während der LLM-Inferenz verwendet wird - erlaubt nicht authentifizier...