Eles riram quando eu disse que podia mapear as falhas de um sistema sem ver uma linha do back-end. Até que eu apertei F12.
Você não precisa de ferramentas de hacker de cinema para saber se sua casa está trancada; você só precisa saber onde puxar a maçaneta. Se você constrói com Cursor ou Claude, o que a IA deixou visível no seu frontend pode ser o seu maior risco.
Checklist de Auditoria de 5 Minutos:
-
Mapeamento de Endpoints: No DevTools (Network), veja o que sua aplicação chama. Se os IDs são sequenciais (/user/42), você está a um passo do desastre.
-
A Estética do Erro: Force um erro. Se o seu sistema devolve um "500" com o mapa interno da sua tecnologia (stack trace), você está dando o manual de instruções para o invasor.
-
Headers de Defesa: Cadê o seu CSP? Cadê o seu HSTS? A ausência desses headers diz ao mercado que segurança não foi uma prioridade na construção.
-
Caça aos Tesouros no JS: Busque por key, secret ou token nos arquivos carregados. IAs adoram "esquecer" chaves de teste hardcoded no frontend.
Se você consegue ver o problema no DevTools, qualquer curioso também consegue. A única diferença é a intenção de quem está olhando.