ScavioScavio
ProductoPreciosDocumentación
Iniciar sesionComenzar
  1. Inicio
  2. Tutoriales
  3. Cómo escanear aplicaciones Bolt.host en busca de configuraciones incorrectas
Tutorial

Cómo escanear aplicaciones Bolt.host en busca de configuraciones incorrectas

Las aplicaciones Bolt.new a menudo se implementan con claves API expuestas y CORS abiertos. Audite las aplicaciones alojadas en Bolt.host utilizando los complementos SERP de Scavio.

Obtener clave API gratisDocumentacion API

Bolt.new envía aplicaciones generadas por IA a los subdominios de Bolt.host en segundos, pero las plantillas predeterminadas a menudo envían claves API expuestas en paquetes de clientes y CORS permisivos. Este tutorial muestra un flujo de trabajo de escaneo ético que encuentra errores de configuración en sus propias aplicaciones Bolt utilizando el descubrimiento SERP de Scavio.

Requisitos previos

  • Python 3.10+
  • Una clave API de Scavio
  • Permiso por escrito para cualquier dominio de destino
  • solicita biblioteca

Guia paso a paso

Paso 1: Enumerar aplicaciones alojadas en Bolt

Los idiotas de SERP encuentran aplicaciones indexadas en Bolt.host.

Python
DORKS = [
  'site:bolt.host',
  'site:bolt.host api_key',
  'site:bolt.host \"supabase\" OR \"firebase\"'
]

Paso 2: Recopilar URL candidatas

Ejecuta a cada idiota a través de Scavio.

Python
import requests, os
API_KEY = os.environ['SCAVIO_API_KEY']

def enumerate():
    urls = set()
    for d in DORKS:
        r = requests.post('https://api.scavio.dev/api/v1/search',
            headers={'x-api-key': API_KEY}, json={'query': d, 'num_results': 50})
        for h in r.json().get('organic_results', []):
            urls.add(h['link'])
    return urls

Paso 3: Obtener paquetes JS del cliente

Busque secretos filtrados en el JS incluido.

Python
import re
SECRET_PATTERNS = [r'sk_live_[A-Za-z0-9]{20,}', r'AIza[A-Za-z0-9_-]{30,}', r'eyJ[A-Za-z0-9_-]{20,}']

def scan_bundle(url):
    html = requests.get(url, timeout=10).text
    js_urls = re.findall(r'src=\"([^\"]+\.js)\"', html)
    hits = []
    for j in js_urls:
        full = j if j.startswith('http') else url.rstrip('/') + j
        body = requests.get(full, timeout=10).text
        for p in SECRET_PATTERNS:
            hits += re.findall(p, body)
    return hits

Paso 4: Probar la política CORS

Verifique Acceso-Control-Permitir-Origen: *.

Python
def cors_check(url):
    r = requests.options(url, headers={'Origin': 'https://evil.example'})
    return r.headers.get('Access-Control-Allow-Origin') == '*'

Paso 5: Informe

Escriba un hallazgo por aplicación con gravedad.

Python
def report(url, secrets, cors_wide):
    if secrets or cors_wide:
        print(f'[{url}] secrets={len(secrets)} cors_wide={cors_wide}')

Ejemplo en Python

Python
import os, requests, re

API_KEY = os.environ['SCAVIO_API_KEY']
PATTERNS = [r'sk_live_[A-Za-z0-9]{20,}', r'AIza[A-Za-z0-9_-]{30,}']

def scan():
    r = requests.post('https://api.scavio.dev/api/v1/search',
        headers={'x-api-key': API_KEY},
        json={'query': 'site:bolt.host my-app', 'num_results': 20})
    for h in r.json().get('organic_results', []):
        html = requests.get(h['link'], timeout=10).text
        secrets = []
        for p in PATTERNS: secrets += re.findall(p, html)
        if secrets: print(f'[{h["link"]}] leaked secrets: {len(secrets)}')

scan()

Ejemplo en JavaScript

JavaScript
const API_KEY = process.env.SCAVIO_API_KEY;
const PATTERNS = [/sk_live_[A-Za-z0-9]{20,}/g, /AIza[A-Za-z0-9_-]{30,}/g];

export async function scan() {
  const r = await fetch('https://api.scavio.dev/api/v1/search', {
    method: 'POST',
    headers: { 'x-api-key': API_KEY, 'Content-Type': 'application/json' },
    body: JSON.stringify({ query: 'site:bolt.host my-app', num_results: 20 })
  });
  const data = await r.json();
  for (const h of data.organic_results || []) {
    const html = await (await fetch(h.link)).text();
    const secrets = PATTERNS.flatMap(p => html.match(p) || []);
    if (secrets.length) console.log(`[${h.link}] ${secrets.length} secrets`);
  }
}

Salida esperada

JSON
Per-URL list of leaked secrets and CORS posture. Typical finding rate: 5-15% of Bolt apps have at least one exposed key.

Tutoriales relacionados

  • Cómo auditar las configuraciones incorrectas de Supabase RLS a escala a través de SERP
  • Cómo auditar su sitio para garantizar la legibilidad del LLM
  • Cómo crear una herramienta de auditoría SEO con SERP y análisis de la competencia

Preguntas frecuentes

La mayoria de los desarrolladores completan este tutorial en 15 a 30 minutos. Necesitaras una clave API de Scavio (el plan gratuito funciona) y un entorno de Python o JavaScript.

Python 3.10+. Una clave API de Scavio. Permiso por escrito para cualquier dominio de destino. solicita biblioteca. Una clave API de Scavio te da 50 creditos gratuitos al registrarte.

Si. El plan gratuito incluye 50 creditos al registrarte, mas que suficiente para completar este tutorial y crear un prototipo funcional.

Scavio tiene un paquete nativo de LangChain (langchain-scavio), un servidor MCP y una API REST simple que funciona con cualquier cliente HTTP. Este tutorial usa the raw REST API, pero puedes adaptarlo al framework que prefieras.

Recursos relacionados

Best Of

La mejor API de búsqueda para Bolt.new en 2026

Read more
Best Of

Mejor API de datos comerciales locales en 2026

Read more
Comparison

Google Places API vs SERP Local Pack API

Read more
Solution

Agregue búsqueda real a las aplicaciones Bolt.new

Read more
Solution

Alternativa de confiabilidad de API de sonda

Read more
Use Case

Flujo de trabajo de enriquecimiento de búsqueda n8n

Read more

Empieza a construir

Las aplicaciones Bolt.new a menudo se implementan con claves API expuestas y CORS abiertos. Audite las aplicaciones alojadas en Bolt.host utilizando los complementos SERP de Scavio.

Obtener clave API gratuitaLeer la documentacion
ScavioScavio

API de busqueda en tiempo real para agentes de IA. Busca en todas las plataformas, no solo en Google.

Producto

  • Funciones
  • Precios
  • Panel
  • Afiliados

Desarrolladores

  • Documentacion
  • Referencia de API
  • Inicio rapido
  • Integracion MCP
  • Python SDK

Alternativas

  • Alternativa a Tavily
  • Alternativa a SerpAPI
  • Alternativa a Firecrawl
  • Alternativa a Exa

Herramientas

  • Formateador JSON
  • cURL a codigo
  • Contador de tokens
  • Todas las herramientas

© 2026 Scavio. Todos los derechos reservados.

Featured on TAAFT
Terminos de servicioPolitica de privacidad