文章总结: 本文指出SPA应用因SAST和DAST盲区成Token泄露重灾区,500万应用中泄露超4.2万个Token。根源在于工具未抓取JSBundle及密钥在构建阶段被注入前端。建议严查打包配置防止Secret注入,将扫描扩展至构建产物dist目录,并定期轮换密钥。 综合评分: 95 文章分类: 漏洞分析,应用安全,数据安全,安全建设
42000个Token泄露背后:SPA应用已成安全重灾区,SAST和DAST都防不住!
原创
Kit Chung Kit Chung
安全圈动向
2026年1月27日 07:59 广东
在这个“万物皆可Web”的时代,API Key泄露早就不是什么新鲜事了。
但让我感到困惑的是:明明我们已经有了那么多先进的安全工具——SAST(静态分析)、DAST(动态分析)、各种CI/CD流水线里的扫描插件,为什么敏感的Token还是像筛子一样往外漏?
最近,Intruder的安全研究团队搞了个大动作。他们不信邪,专门针对现代前端应用(特别是SPA单页应用)最容易被忽视的角落——JavaScript Bundles(打包后的JS文件)——进行了一次地毯式搜索。
结果令人咋舌:在扫描了 500万 个应用后,他们挖出了超过 42,000 个暴露的Token,涵盖了334种不同的密钥类型。
今天,我想带大家从技术底层扒一扒:为什么你引以为豪的安全防线,在几行JS代码面前竟如此不堪一击?
01 传统漏扫工具的“盲区”
咱们先聊聊最传统的自动化漏洞扫描工具。
很多搞运维或安全的兄弟都知道,传统的扫描逻辑其实非常“直线条”。它们通常手里拿着一份“常见路径字典”,然后配合正则表达式去匹配页面内容。
典型的工作流(以Nuclei为例):1. 向目标URL(比如 https://portal.xxx.com/)发送一个HTTP GET请求。
- 拿到返回的HTML源码。
- 在源码里死磕,试图匹配像GitLab Personal Access Token这样的特征字符串。
- 如果运气好匹配到了,再调API去验证Token是不是活的。
这招对付老式网页还行,但面对现在的SPA(单页应用)简直就是“刻舟求剑”。
为什么?因为现代前端应用(React, Vue, Angular等)极其依赖客户端渲染。当你请求主页时,服务器往往只返回一个空荡荡的
和几个
评论