바이브코딩 앱에서 자주 나오는 보안 이슈
AI·노코드 도구로 빠르게 만든 앱에서 우리가 점검하며 자주 보는 취약점입니다. 각 항목은 무엇이 문제인지, 내 앱도 해당되는지, 어떻게 고치는지까지 쉬운 한국어로 설명합니다.
치명적Supabase RLS(행 수준 보안) 누락
RLS를 켜지 않으면, 누구나 가진 공개용 anon 키만으로 데이터베이스 전체를 읽고 쓸 수 있습니다.
치명적service_role 키 노출
모든 보안 규칙을 무시하는 마스터 키가 브라우저 번들에 박히면, 데이터베이스 전체가 사실상 공개됩니다.
치명적API 인가 우회 (IDOR·BOLA)
요청에 담긴 ?userId= 값만 믿고 진짜 주인인지 확인하지 않으면, 숫자만 바꿔 남의 데이터를 볼 수 있습니다.
높음anon 키 노출 — 정상일까, 위험일까
anon 키는 공개되도록 만들어진 키입니다. 진짜 위험은 키가 보이는 것 자체가 아니라, 그 키로 무엇이 가능한지에 달려 있습니다.
높음CORS 설정 오류 — 모든 출처(
*) 허용의 함정편하려고 모든 출처를 허용하거나 요청 출처를 그대로 되비추면, 악성 사이트가 사용자 브라우저를 빌려 내 API 를 호출할 수 있습니다.
내 앱은 어떤지 먼저 확인하고 싶다면
앱 주소만으로 코드·서버 접근 없이 무료로 점검해 드립니다. 위험이 나오면 사람이 직접 고치는 것까지 도와드려요.