如果你有在 Vibe Coding,那麼以下是你在公開前可以檢核的安全檢查清單,資料來自@DeFiMinty。
01 — 機密與設定(Secrets & Config)
-
程式碼庫中寫死(Hardcode)的密碼、Token 或 API Key
-
機密資訊透過 log、錯誤訊息或 API 回應外洩
-
.env或環境設定檔被提交到 Git -
應該只在伺服器端使用的 API Key 卻暴露在前端
-
CORS 設定過於寬鬆
-
使用了 已知存在漏洞的依賴套件
-
預設帳號密碼或範例設定仍然存在
-
生產環境仍開啟 Debug mode 或開發工具
02 — 存取控制與 API(Access & API)
-
頁面或 API route 沒有正確的身份驗證
-
使用者只要修改 URL 中的 ID 就能存取別人的資料
-
Token 被 不安全地儲存在前端
-
登入或重設密碼流程 會洩漏帳號是否存在
-
API endpoint 沒有 rate limiting(請求頻率限制)
-
錯誤回應 暴露內部系統細節
-
API endpoint 回傳超過實際需要的資料
-
敏感操作(刪除帳號、修改 email 等)沒有確認步驟
-
Admin 管理頁面 只靠隱藏 URL 保護
03 — 使用者輸入(User Input)
-
未過濾的使用者輸入直接進入 資料庫查詢
-
使用者提交的文字 可能在其他使用者瀏覽器執行程式碼(XSS)
-
檔案上傳 沒有檢查類型或大小
-
付款或計費邏輯可以在前端被繞過
