Base44漏洞凸显Vibe-Coding平台安全风险
流行vibe-coding平台Base44近期修复了一个认证漏洞,该漏洞允许未授权用户完全访问平台上的任何私有应用程序。这一发现由云安全公司Wiz的研究人员披露,该公司于今年3月被谷歌以320亿美元收购。
低门槛攻击带来的广泛威胁
根据Wiz的研究报告,该漏洞最令人担忧之处在于其极低的利用门槛。“这种低进入门槛意味着攻击者只需最少的技术复杂度就能系统性地破坏平台上的多个应用程序,“Wiz在报告中指出。
不过目前没有证据表明在该漏洞被发现前有人实际利用过此漏洞。Wix公司(今年早些时候收购了Base44)已修复该问题并改进了认证控制措施。
漏洞技术细节
认证逻辑缺陷
漏洞核心问题在于Base44平台意外暴露了两个本应隐藏的系统组件:新用户注册接口和一次性密码(OTP)验证接口。攻击者无需登录或特殊权限即可使用这些接口。
App ID暴露问题
Wiz发现,任何人只要获得Base44应用ID(平台为所有应用分配的唯一标识符),就能通过隐藏的注册或验证工具注册有效的验证账户来访问该应用。研究人员还发现Base44应用ID很容易被发现,因为对知道如何查找的人来说这些ID是公开可访问的。
Swagger-UI接口暴露
研究团队在检查攻击面时收到警报,发现Swagger-UI(API文档开源工具)的两个接口在Base44的两个域名上暴露。研究人员追踪这些暴露点发现了漏洞,并能够快速建立对Swagger-UI实例的未授权访问。
攻击利用过程
根据报告描述,攻击者可以:
- 使用目标应用的app_id通过Swagger-UI接口注册新用户账户
- 通过电子邮件接收OTP验证码
- 验证新账户——所有这些操作都是针对不属于攻击者且配置为仅限SSO访问的应用
根本原因与修复
Wiz威胁暴露主管Gal Nagli表示,问题主要源于Base44认证工作流程中的逻辑缺陷。“一旦攻击者发现内部API文档(在Base44主域名上公开可访问),他们就会意识到注册到私有应用所需的所有参数都已暴露,“他解释说。“凭借最少的技术知识,攻击者就能快速注册并获得本应仅限授权用户访问的私有应用的访问权限。”
Wix通过在执行应用隐私设置的正确验证后才允许用户注册访问私有应用的账户,成功缓解了该漏洞。
低代码平台的安全挑战
Nagli指出,像Base44这样的vibe-coding平台民主化了软件开发,使数百万人能够快速轻松地构建应用程序。虽然它们的广泛流行证明了AI驱动开发的快速增长,但新的攻击面也随之出现。“我们的发现强调,包括适当认证和安全API设计在内的基本控制措施至关重要,“他表示。
Base44是一个低代码平台,专为开发者和软件团队设计,使用自然语言描述而非传统编程代码来快速构建和部署功能完整的应用程序。该平台的付费订阅起价仅为每月20美元,最高可达每月200美元,用户范围从个人开发者到企业组织。
作者背景:Jai Vijayan是一位经验丰富的技术记者,在IT行业新闻领域拥有超过20年的经验。他最近担任Computerworld的高级编辑,负责报道信息安全和数据隐私问题。在其20年的职业生涯中,他还涵盖了大数据、Hadoop、物联网、电子投票和数据分析等多种技术主题。