FixVibe

// 漏洞聚焦

FixVibe 运行的每一项检查,
通通讲清楚。

FixVibe 自带 69+ 个漏洞类别。每条记录每次扫描最多运行 35 项子检查,详细讲解漏洞如何工作、攻击者能从中得到什么、我们如何检测以及如何防御。

01 / 07

HTTP 与表面

· CWE-1004

会话 Cookie 属性

HttpOnly、Secure、SameSite——三个让会话 cookie 难以被盗的标志。

阅读聚焦

· CWE-693

HTTP 安全头

安全头是免费的防御——大多数应用至今还在不带它们就上线。

阅读聚焦

· CWE-326

TLS 配置

陈旧的密码套件加缺失的 HSTS,等于一个敌意 Wi-Fi 的距离就被会话劫持。

阅读聚焦

· CWE-693

Vercel Deployment Protection

Generated deployment URLs should not become public staging doors.

阅读聚焦

02 / 07

密钥

严重· CWE-798

硬编码密钥模式

Stripe 密钥、AWS 凭据、OpenAI token——模式匹配能抓到那些容易犯的错误。

阅读聚焦

严重· CWE-798

JavaScript 包中的密钥

如果它进入了你的客户端 bundle,那就不是密钥——是公开声明。

阅读聚焦

· CWE-345

JWT 完整性 (alg 混淆、弱密钥)

如果你的 JWT 验证器信任 token 自己的 header,攻击者写什么它就信什么。

阅读聚焦

· CWE-922

浏览器存储中的 Token

localStorage 是 JavaScript 可读的。存在那里的认证 token 在设计上就是 XSS 可窃取的。

阅读聚焦

· CWE-540

暴露的 Source Maps

如果你的 .map 文件公开可访问,攻击者正在阅读你的 TypeScript。

阅读聚焦

· CWE-200

JavaScript 中的信息泄露

内部 API 主机、版本横幅、TODO 注释——小泄露累积成你技术栈的地图。

阅读聚焦

03 / 07

Backend-as-a-Service

严重· CWE-284

Firebase 安全规则

`allow read, write: if true` 此刻就是某个人的生产数据库。

阅读聚焦

严重· CWE-284

Supabase 行级安全

如果不在每张公开表上启用 RLS,你的 anon key 就是任意读取的通行证。

阅读聚焦

· CWE-1390

Clerk 和 Auth0 配置

身份提供商在默认值未收紧时泄露超出应有水平。

阅读聚焦

· CWE-862

Supabase Storage and API Posture

Public buckets and anon-listable objects are where BaaS data leaks start.

阅读聚焦

04 / 07

DNS

· CWE-350

子域名接管

指向未认领云资源的 CNAME 是邀请别人在你的域名上托管钓鱼。

阅读聚焦

· CWE-290

SPF / DKIM / DMARC

缺少这三条记录,任何人都能假冒你发邮件。

阅读聚焦

05 / 07

探索

· CWE-1395

CVE 交叉比对

检测到的版本 + 公开 CVE 数据库 = 已经记录在案的攻击清单。

阅读聚焦

· CWE-489

Debug 和管理员端点

/debug、/admin、/server-status——这些路径不应该从互联网可达。

阅读聚焦

· CWE-538

暴露的文件和备份目录

.env、.git、.DS_Store、backup.sql——这些不该公开的文件意外公开了。

阅读聚焦

· CWE-20

SPIP Template RCE Version Exposure

Public SPIP version banners can reveal an RCE-class patch gap.

阅读聚焦

· CWE-693

Cloudflare 源站和代理姿态

如果你的源站 IP 可被发现,Cloudflare 的 WAF 就可被绕过。

阅读聚焦

· CWE-200

GraphQL Introspection 暴露

生产环境的 introspection 把整个类型系统直接交给攻击者。

阅读聚焦

· CWE-693

威胁情报交叉比对

Spamhaus DBL、URLhaus——从外部看你的域名信誉。

阅读聚焦

· CWE-200

暴露的 API 文档

/swagger.json、/openapi.json、/docs——给你也给攻击者用的公开 API 地图。

阅读聚焦

· CWE-200

Netlify 特有的暴露

Netlify deploy preview URL、x-nf-* 头、_redirects 配置错误。

阅读聚焦

· CWE-281

隐私和 Cookie 合规标记

GDPR 要求的页面——必须存在并被链接,否则有被投诉的风险。

阅读聚焦

· CWE-200

技术栈指纹识别

了解你的技术栈是侦察的一半——过时的框架补完另一半。

阅读聚焦

· CWE-200

Vercel 特有的暴露

_next/static、x-vercel-* 头、preview URL——Vercel 特有的痕迹泄露超出预期。

阅读聚焦

06 / 07

主动探测

严重· CWE-639

跨租户数据泄露

没有租户 ID 强制的多租户 SaaS 会在组织间泄露客户数据。

阅读聚焦

严重· CWE-345

JWT alg=none Acceptance

A decoded token is not an authenticated identity.

阅读聚焦

严重· CWE-78

操作系统命令注入

当用户输入成为 shell 命令的一部分,shell 就执行攻击者写的任何东西。

阅读聚焦

严重· CWE-94

服务端模板注入 (SSTI)

模板引擎把用户输入当作模板时,服务器就把用户输入当作代码。

阅读聚焦

严重· CWE-89

SQL 注入

当用户输入成为查询的一部分,数据库就不再属于你。

阅读聚焦

· CWE-287

认证流程缺陷

登录、注册、密码重置——大多数账号接管实际上就发生在这。

阅读聚焦

· CWE-918

盲 SSRF (带外)

如果服务器抓取用户提供的 URL,用户就能让它去抓内部服务。

阅读聚焦

· CWE-89

CKAN DataStore SQL Authorization Bypass

Public DataStore SQL access can turn open data APIs into private data exposure.

阅读聚焦

· CWE-942

CORS 配置错误

宽松的 Access-Control-Allow-Origin 加上凭据,意味着你的 API 是所有人的 API。

阅读聚焦

· CWE-79

通过 URL 片段的 DOM 型 XSS

现代 SPA 读取 location.hash 并写入 DOM——攻击者的 payload 一路同行。

阅读聚焦

· CWE-434

文件上传校验

用户上传的文件是任意字节——不检查就当“图片”接受是在邀请 RCE。

阅读聚焦

· CWE-321

FUXA Hardcoded JWT Fallback Secret

Default token-signing secrets can turn an HMI login into a weak boundary.

阅读聚焦

· CWE-770

GraphQL 深度轰炸和批量绕过

GraphQL 的灵活性也是它的脆弱点——深度炸弹、别名批处理、字段建议泄露。

阅读聚焦

· CWE-444

HTTP 请求走私

前端代理和后端对一个请求在哪结束意见不一致——攻击者就在缝隙间穿行。

阅读聚焦

· CWE-639

IDOR / BOLA

如果你的 API 信任客户端发送正确的 ID,客户端就能发送任何 ID。

阅读聚焦

· CWE-77

LLM 提示注入

如果你的 AI 功能把用户输入当作指令信任,用户就能改写系统提示。

阅读聚焦

· CWE-943

NoSQL 操作符注入

用户控制的 JSON 中的 MongoDB 风格操作符把你的查询变成通配符。

阅读聚焦

· CWE-79

反射型跨站脚本攻击 (XSS)

无声的劫持:一个未经处理的参数就能在你用户的浏览器里执行攻击者代码。

阅读聚焦

· CWE-611

XML 外部实体 (XXE)

如果你的 XML 解析器解析外部实体,你的服务器就在为攻击者读文件。

阅读聚焦

· CWE-200

ZoneMinder Directory Listing Exposure

A camera management UI should not publish its web root index.

阅读聚焦

· CWE-203

账号枚举

如果登录在邮箱存在与否时返回不同响应,攻击者就能构建客户名单。

阅读聚焦

Confirming Next.js middleware bypass exposure

Confirming Next.js middleware bypass exposure

阅读聚焦

· CWE-113

CRLF / 响应拆分

如果用户输入落入响应头,换行符让攻击者写入自己的头部。

阅读聚焦

· CWE-352

CSRF 防护

如果你的状态变更端点不要求 CSRF token,第三方网站就能以你的用户身份行动。

阅读聚焦

· CWE-307

缺失速率限制

认证端点没有速率限制,攻击者可以以线路速度做凭据填充。

阅读聚焦

· CWE-693

Next.js Header Configuration Drift

Headers set on `/` do not always protect nested routes.

阅读聚焦

· CWE-601

开放重定向

你那个不验证目的地的 /redirect?url=… 就是个钓鱼套件。

阅读聚焦

07 / 07

源代码

严重· CWE-89

Ghost Content API SQL Injection Advisory

A vulnerable Ghost dependency can put public content APIs on the database boundary.

阅读聚焦

严重· CWE-78

LibreNMS Command Injection Advisory

A vulnerable monitoring stack can become an execution path inside the network.

阅读聚焦

严重· CWE-89

LiteLLM SQL Injection Advisory

A vulnerable LiteLLM Proxy version can turn API-key verification into database exposure.

阅读聚焦

· CWE-798

Committed AI-Generated Secrets

AI snippets should not ship provider keys into git.

阅读聚焦

· CWE-77

electerm Install-Script Command Injection Advisory

A vulnerable terminal-client dependency can put build or developer hosts at install-time risk.

阅读聚焦

· CWE-611

OpenCms XXE Information-Disclosure Advisory

A vulnerable OpenCms dependency can put XML-processing routes on a file-read boundary.

阅读聚焦

· CWE-754

PDF.js JavaScript Execution Advisory

A vulnerable PDF viewer can turn a malicious document into script execution.

阅读聚焦

· CWE-94

高风险源码模式

eval()、dangerouslySetInnerHTML、硬编码密钥——SAST 抓了 25 年的模式。

阅读聚焦

· CWE-284

Supabase RLS in Migrations

A public table without RLS is a future data leak.

阅读聚焦

· CWE-1395

易受攻击的依赖

你的 package-lock.json 包含数千个包。其中一些有已知 CVE。

阅读聚焦

· CWE-345

Webhook 签名验证

如果你的 webhook handler 不验证签名,任何人都能伪造事件。

阅读聚焦

· CWE-693

AI-Generated Code Guardrails

Fast AI-assisted changes need repo-level security rails.

阅读聚焦

· CWE-1357

代码仓库安全卫生

分支保护、Action pin、密钥卫生——你怎么管理仓库比代码本身更重要。

阅读聚焦

Reviewing repo code against web app risk patterns

Reviewing repo code against web app risk patterns

阅读聚焦

我们持续研究最新的漏洞检查和修复方法,让你可以更安心地发布。

运行扫描
漏洞聚焦 — FixVibe · FixVibe