FixVibe
Covered by FixVibemedium

Next.js Next.config.js-də Təhlükəsizlik Başlığının Yanlış Konfiqurasiyası

Başlıqların idarə edilməsi üçün next.config.js istifadə edən Next.js tətbiqləri yol uyğunluğu nümunələri qeyri-dəqiq olduqda təhlükəsizlik boşluqlarına həssasdır. Bu tədqiqat joker simvol və regex səhv konfiqurasiyalarının həssas marşrutlarda təhlükəsizlik başlıqlarının itməsinə necə səbəb olduğunu və konfiqurasiyanın necə sərtləşdirilməsini araşdırır.

CWE-1021CWE-200

Təsir

Çatışmayan təhlükəsizlik başlıqlarından klikləmə, saytlar arası skript (XSS) və ya [S2] server mühiti haqqında məlumat toplamaq üçün istifadə edilə bilər. Content-Security-Policy (CSP) və ya X-Frame-Options kimi başlıqlar marşrutlar arasında qeyri-ardıcıl şəkildə tətbiq edildikdə, təcavüzkarlar ZXCOKVCV3VIBCVXVIXVIXVIXVCVXZXCVFIX sayt miqyasında təhlükəsizlik nəzarətlərini keçmək üçün xüsusi qorunmayan yolları hədəfləyə bilər.

Kök Səbəb

Next.js tərtibatçılara next.config.js-də headers mülkiyyətindən [S2] istifadə edərək cavab başlıqlarını konfiqurasiya etməyə imkan verir. Bu konfiqurasiya joker simvolları və [S2] müntəzəm ifadələrini dəstəkləyən yol uyğunluğundan istifadə edir. Təhlükəsizlik zəiflikləri adətən aşağıdakılardan yaranır:

  • Yarımçıq Yol Əhatəsi: Vəhşi simvol nümunələri (məsələn, /path*) bütün nəzərdə tutulan alt marşrutları əhatə etməyə bilər və daxili səhifələri [S2] təhlükəsizlik başlıqları olmadan tərk edə bilər.
  • Məlumatın Açıqlanması: Defolt olaraq Next.js poweredByHeader konfiqurasiyası poweredByHeader X-Powered-By konfiqurasiyası ZXCVFIXVIBETOKENFIX vasitəsilə açıq şəkildə deaktiv edilmədiyi halda çərçivə versiyasını göstərən X-Powered-By başlığını ehtiva edə bilər.
  • CORS Yanlış Konfiqurasiya: headers massivi daxilində düzgün təyin edilməmiş Access-Control-Allow-Origin başlıqları həssas data CORS üçün icazəsiz mənşəli girişə icazə verə bilər.

Beton Təmirləri

  • Audit Yolu Nümunələri: next.config.js-dəki bütün source nümunələrinin lazım olduqda qlobal olaraq başlıqları tətbiq etmək üçün müvafiq joker işarələrdən (məsələn, /:path*) istifadə etdiyinə əmin olun ZXCVFIXZVIBET.
  • Barmaq izini söndürün: X-Powered-By başlığının [S2] göndərilməsinin qarşısını almaq üçün poweredByHeader: false-ni next.config.js-də təyin edin.
  • CORS-ni məhdudlaşdırın: headers konfiqurasiyasında Access-Control-Allow-Origin-ni xüsusi etibarlı domenlərə təyin edin, headers konfiqurasiyasında.

FixVibe bunu necə sınaqdan keçirir

FixVibe tətbiqi tarama və müxtəlif marşrutların təhlükəsizlik başlıqlarını müqayisə etməklə aktiv qapalı araşdırma həyata keçirə bilər. X-Powered-By başlığını və müxtəlif yol dərinliklərində Content-Security-Policy ardıcıllığını təhlil edərək, FixVibe next.config.js-də konfiqurasiya boşluqlarını müəyyən edə bilər.