False Positives Test - LeakTrainer

1. Faux Positifs - Commentaires de Documentation

❌ FAUX POSITIF - Exemple dans la documentation

Ces credentials sont des exemples de documentation, pas des vrais secrets.

❌ FAUX POSITIF - Placeholder

const password = "YOUR_PASSWORD_HERE"; const apiKey = "INSERT_YOUR_API_KEY";

Texte de remplacement standard, pas un vrai credential.

✅ VRAI POSITIF - Credential réel caché

const realPassword = "Pr0d_R3@l_P@ss_2024!";

Ceci est un vrai leak à détecter!

2. Faux Positifs - Variables de Test

❌ FAUX POSITIF - Variables de test


                const TEST_PASSWORD = "test123";

                const DEMO_API_KEY = "demo_key_for_testing";

                const EXAMPLE_TOKEN = "example_token_abc";

Préfixes TEST_, DEMO_, EXAMPLE_ indiquent des valeurs de test.

❌ FAUX POSITIF - Commenté pour désactivation


                // const oldPassword = "old_password_123"; // Désactivé

                // const deprecatedKey = "deprecated_key"; // Ne plus utiliser

Code commenté, pas activement utilisé.

✅ VRAI POSITIF - Credential actif

const activePassword = "Act1v3_Pr0d_P@ss_2024!";

Variable active avec un vrai credential.

3. Faux Positifs - Strings qui ressemblent à des secrets

❌ FAUX POSITIF - Hash ou ID


                const userId = "AKIA1234567890ABCDEF"; // Format similaire AWS mais c'est un ID

                const sessionId = "sk_test_1234567890"; // Ressemble à Stripe mais c'est un ID de session

Patterns similaires mais contexte différent.

❌ FAUX POSITIF - Valeurs encodées pour autre chose


                const base64Image = "SGVsbG8gV29ybGQ="; // Base64 de "Hello World"

                const hexColor = "#1234567890ABCDEF"; // Code couleur hex

Encodage pour autre chose que des credentials.

✅ VRAI POSITIF - Vraie clé AWS


                const awsAccessKey = "AKIAIOSFODNN7REALKEY123";

                const awsSecret = "wJalrXUtnFEMI/K7MDENG/bPxRfiCYREALSECRET";

Vrais credentials AWS à détecter!

4. Faux Positifs - Documentation et Tutoriels

❌ FAUX POSITIF - Instructions d'utilisation

Pour configurer l'application:
1. Créez un fichier .env
2. Ajoutez: DB_PASSWORD=votre_mot_de_passe
3. Remplacez "votre_mot_de_passe" par votre vrai password

Instructions génériques, pas de vrais credentials.

❌ FAUX POSITIF - Format d'exemple


                api_key: "pk_live_XXXXXXXXXXXXX" // Remplacer les X par votre clé

                password: "************" // Masqué pour sécurité

Placeholders visuels, pas de vraies valeurs.

✅ VRAI POSITIF - Credential dans l'exemple


                // Exemple d'utilisation (NE PAS COMMITER):

                const apiKey = "pk_live_51RealStripeKey1234567890ABCDEF";

Malgré le commentaire, c'est un vrai credential exposé!

5. Faux Positifs - IBAN et Cartes de Test

❌ FAUX POSITIF - Numéros de test officiels


                // Carte de test Stripe (officielle):

                cardNumber: "4242424242424242"

                // IBAN de test (invalide):

                iban: "XX00000000000000000000"

Numéros de test officiels et documentés.

❌ FAUX POSITIF - Format exemple


                // Format: FR76 XXXX XXXX XXXX XXXX XXXX XXX

                iban_format: "DE89 3704 0044 0000 0000 00"

Montre le format, pas un vrai IBAN.

✅ VRAI POSITIF - Vrai IBAN d'utilisateur


                const userIban = "FR76 3000 4001 9200 0123 4567 890";

                const clientCard = "5425 2334 3010 9903";

Données bancaires réelles à protéger!

6. Faux Positifs - URLs et Emails

❌ FAUX POSITIF - Domaines d'exemple


                email: "[email protected]"

                api: "https://api.example.com"

                webhook: "http://localhost:3000/webhook"

Domaines réservés pour exemples (example.com, localhost).

❌ FAUX POSITIF - Pattern mais pas de credentials


                // postgresql://user:password@host:5432/database

                connectionFormat = "mongodb://username:password@host:27017/dbname"

Montre le format, contient les mots "user", "password" mais pas de vraies valeurs.

✅ VRAI POSITIF - URL avec credentials


                const dbUrl = "postgresql://prod_user:Pr0d_R3@l_DB_P@[email protected]:5432/prod";

                const mongoUri = "mongodb://admin:M0ng0_R3@l_P@[email protected]:27017/app";

URLs avec vrais credentials intégrés!

7. Cas Mixtes - Difficiles à Distinguer

❌ FAUX POSITIF - Variable nommée "password" mais valeur safe


                const passwordLength = 12;

                const passwordField = "password_input";

                const hasPassword = true;

Contient le mot "password" mais pas de credential.

❌ FAUX POSITIF - Regex ou pattern de validation


                const passwordRegex = /^(?=.*[A-Z])(?=.*[0-9]).{8,}$/;

                const apiKeyPattern = /^[A-Za-z0-9]{32}$/;

Expressions régulières pour validation, pas de vraies valeurs.

✅ VRAI POSITIF - Mélangé avec du code légitime


                const config = {

                  passwordMinLength: 8, // OK

                  adminPassword: "Adm1n_R3@l_P@ss!", // ⚠️ LEAK!

                  passwordField: "password" // OK

                };

Un vrai leak caché parmi du code normal!

🎯 False Positives Testing Page