Pourquoi les secrets des bundles JavaScript manquent toujours

The Hacker News - TheHackerNews - 20/01

L'analyse de 5 millions d'applications a révélé 42 000 secrets exposés dans les bundles JavaScript, révélant ainsi des lacunes majeures dans la couverture traditionnelle des scanners SAST, DAST et.

Les fuites de clés API ne sont plus inhabituelles, pas plus que les violations qui s'ensuivent. Alors pourquoi les jetons sensibles sont-ils encore si facilement exposés ?

Pour le savoir, l'équipe de recherche d'Intruder a examiné ce que les scanners de vulnérabilités traditionnels couvraient réellement et a construit une nouvelle méthode de détection des secrets pour combler les lacunes des approches existantes.

L'application de cette méthode à grande échelle en analysant 5 millions d'applications a révélé plus de 42 000 jetons exposés dans 334 types de secrets, révélant ainsi une classe majeure de secrets divulgués qui n'est pas bien gérée par les outils existants, en particulier dans les applications à page unique (SPA).

Dans cet article, nous décomposons les méthodes de détection de secrets existantes et révélons ce que nous avons trouvé lorsque nous avons analysé des millions d'applications à la recherche de secrets cachés dans les bundles JavaScript.

Méthodes établies de détection des secrets (et leurs limites)

Détection de secrets traditionnels

L'approche traditionnelle et entièrement automatisée de la détection des secrets d'application consiste à rechercher un ensemble de chemins connus et à appliquer des expressions régulières pour correspondre aux formats de secrets connus.

Bien que cette méthode soit util...
[Courte citation de 8% de l'article original]

Catégorie : Article

Tags : actualités sur la cybersécurité - actualités sur la cybersécurité - actualités sur la cybersécurité aujourd'hui - mises à jour sur la cybersécurité - mises à jour sur la cybersécurité - actualités sur les hackers - actualités sur le piratage - vulnérabilité logicielle - cyberattaques - violation de données - logiciels malveillants ransomware - comment pirater - sécurité des réseaux - sécurité de l'information - l'actualité des hackers - sécurité informatique -

Article automatiquement traduit - Source et Copyright images et textes : The Hacker News - TheHackerNews
Lien vers la traduction, consulter la traduction de l'article sur Google Translate : https://translate.google.com/translate?hl=en&sl=auto&tl=fr&u=https://thehackernews.com/2026/01/why-secrets-in-javascript-bundles-are.html
Lien original, consulter l'article dans son intégralité ici : https://thehackernews.com/2026/01/why-secrets-in-javascript-bundles-are.html
Lien direct sur notre site : http://www.newsexplorer.fr/article/30711033/Pourquoi-les-secrets-des-bundles-JavaScript-manquent-toujours
Partager : Facebook - Twitter

Avis de non-responsabilité pour les articles et les traductions :
Les articles publiés sur ce site ont été rédigés par des auteurs externes et ne représentent pas l'avis ou les opinions de ce site. Les informations contenues dans ces articles sont fournies à titre indicatif et ne doivent pas être considérées comme des conseils professionnels ou juridiques.
De plus, les traductions proposées sur ce site peuvent ne pas être exactes ou complètes. Nous ne pouvons garantir l'exactitude, la fiabilité ou la pertinence de ces traductions et nous déclinons toute responsabilité pour toute perte ou préjudice causé par leur utilisation.
Nous recommandons à nos lecteurs de vérifier toutes les informations avant de prendre des décisions ou d'entreprendre des actions en se basant sur ces articles ou traductions. Nous ne serons pas tenus responsables des erreurs ou des omissions dans les informations fournies sur ce site.