FixVibe
Covered by FixVibehigh

API Əsas Sızma: Müasir Veb Tətbiqlərində Risklər və Təmir

Frontend kodu və ya repozitoriya tarixçəsindəki sərt kodlu sirlər təcavüzkarlara xidmətlərin kimliyini göstərməyə, şəxsi məlumatlara daxil olmağa və xərc çəkməyə imkan verir. Bu məqalə gizli sızma risklərini və təmizləmə və qarşısının alınması üçün lazımi addımları əhatə edir.

CWE-798

Təsir

API açarları, tokenləri və ya etimadnamələri kimi sirlərin sızması həssas məlumatlara icazəsiz girişə, xidmətin şəxsiyyətinə bənzəməyə və resursdan sui-istifadə [S1] səbəbindən əhəmiyyətli maliyyə itkisinə səbəb ola bilər. Sirr ictimai repozitoriyaya təhvil verildikdən və ya frontend tətbiqinə yığıldıqdan sonra o, [S1] təhlükəsi hesab edilməlidir.

Kök Səbəb

Kök səbəb həssas etimadnamələrin birbaşa mənbə koduna və ya sonradan versiyaya nəzarəti təmin edən və ya [S1] müştərisinə təqdim edilən konfiqurasiya fayllarına daxil edilməsidir. Tərtibatçılar tez-tez inkişaf zamanı rahatlıq üçün açarları sərt kodlayır və ya təsadüfən .env fayllarını [S1] öhdəliklərinə daxil edirlər.

Beton Təmirləri

  • Güzəştli Sirləri Döndürün: Əgər sirr sızarsa, o, dərhal ləğv edilməli və dəyişdirilməlidir. Sadəcə olaraq kodun cari versiyasından sirri silmək kifayət deyil, çünki o, [S1][S2] versiyaya nəzarət tarixçəsində qalır.
  • Ətraf mühit Dəyişənlərindən istifadə edin: Sirləri sərt kodlaşdırmaqdansa, ətraf mühit dəyişənlərində saxlayın. .env fayllarının .gitignore-yə [S1]-nin təsadüfən törədilməsinin qarşısını almaq üçün əlavə olunduğundan əmin olun.
  • Gizli İdarəetməni həyata keçirin: [S1] icra zamanı tətbiq mühitinə etimadnamələri daxil etmək üçün xüsusi məxfi idarəetmə alətlərindən və ya kassa xidmətlərindən istifadə edin.
  • Repozitor Tarixçəsini Təmizləyin: Əgər sirr Git-ə verilibsə, ZXCVFIXVIBETOKEN1Z repozitoriya tarixçəsindəki bütün filial və teqlərdən həssas məlumatları həmişəlik silmək üçün git-filter-repo və ya BFG Repo-Təmizləyici kimi alətlərdən istifadə edin.

FixVibe bunu necə sınaqdan keçirir

FixVibe indi bunu canlı skanlara daxil edir. Passiv secrets.js-bundle-sweep eyni mənşəli JavaScript paketlərini endirir və məlum API açarı, işarəsi və entropiya və yer tutucu qapıları olan etimadnamə nümunələrinə uyğun gəlir. Əlaqədar canlı yoxlamalar brauzer yaddaşını, mənbə xəritələrini, auth və BaaS müştəri paketlərini və GitHub repo mənbə nümunələrini yoxlayır. Git tarixinin yenidən yazılması remediasiya addımı olaraq qalır; FixVibe-nin canlı yayımı göndərilmiş aktivlərdə, brauzer yaddaşında və cari repo məzmununda mövcud olan sirlərə diqqət yetirir.