FixVibe
Covered by FixVibehigh

API কী লিকেজ: আধুনিক ওয়েব অ্যাপে ঝুঁকি এবং প্রতিকার

ফ্রন্টএন্ড কোড বা সংগ্রহস্থলের ইতিহাসে হার্ড-কোডেড গোপনীয়তা আক্রমণকারীদের ছদ্মবেশী পরিষেবা, ব্যক্তিগত ডেটা অ্যাক্সেস করতে এবং খরচ বহন করার অনুমতি দেয়। এই নিবন্ধটি গোপন ফাঁসের ঝুঁকি এবং পরিষ্কার এবং প্রতিরোধের জন্য প্রয়োজনীয় পদক্ষেপগুলি কভার করে৷

CWE-798

প্রভাব

API কী, টোকেন বা শংসাপত্রের মতো গোপনীয়তা ফাঁস করলে সংবেদনশীল ডেটাতে অননুমোদিত অ্যাক্সেস, পরিষেবার ছদ্মবেশ এবং সম্পদের অপব্যবহারের কারণে উল্লেখযোগ্য আর্থিক ক্ষতি হতে পারে [S1]। একবার একটি গোপন তথ্য একটি পাবলিক রিপোজিটরিতে প্রতিশ্রুতিবদ্ধ হলে বা একটি ফ্রন্টএন্ড অ্যাপ্লিকেশনে বান্ডিল করা হলে, এটিকে আপোসকৃত [S1] হিসাবে বিবেচনা করা উচিত।

মূল কারণ

মূল কারণ হল সরাসরি সোর্স কোড বা কনফিগারেশন ফাইলে সংবেদনশীল শংসাপত্র অন্তর্ভুক্ত করা যা পরবর্তীতে সংস্করণ নিয়ন্ত্রণের জন্য প্রতিশ্রুতিবদ্ধ বা ক্লায়েন্ট [S1] কে পরিবেশন করা হয়। ডেভেলপাররা প্রায়ই ডেভেলপমেন্টের সময় সুবিধার জন্য হার্ড-কোড কী বা ঘটনাক্রমে .env ফাইলগুলি তাদের কমিট [S1] অন্তর্ভুক্ত করে।

কংক্রিট ফিক্স

  • রোটেট কম্প্রোমাইজড সিক্রেটস: যদি কোনো সিক্রেট ফাঁস হয়ে যায়, তাহলে তা অবশ্যই প্রত্যাহার করতে হবে এবং অবিলম্বে প্রতিস্থাপন করতে হবে। কোডের বর্তমান সংস্করণ থেকে কেবল গোপনটি অপসারণ করা অপর্যাপ্ত কারণ এটি সংস্করণ নিয়ন্ত্রণ ইতিহাস [S1][S2] থেকে যায়৷
  • এনভায়রনমেন্ট ভেরিয়েবল ব্যবহার করুন: হার্ড-কোডিং না করে এনভায়রনমেন্ট ভেরিয়েবলে গোপনীয়তা সংরক্ষণ করুন। নিশ্চিত করুন যে .env ফাইলগুলি .gitignore এ যোগ করা হয়েছে যাতে দুর্ঘটনাজনিত কমিট [S1] এড়ানো যায়।
  • সিক্রেট ম্যানেজমেন্ট প্রয়োগ করুন: রানটাইম [S1] এ অ্যাপ্লিকেশন পরিবেশে শংসাপত্রগুলি ইনজেক্ট করতে উত্সর্গীকৃত গোপন ব্যবস্থাপনা সরঞ্জাম বা ভল্ট পরিষেবাগুলি ব্যবহার করুন৷
  • পার্জ রিপোজিটরি হিস্টোরি: যদি গিট-এর সাথে কোনো গোপন বিষয় থাকে, তাহলে git-filter-repo বা BFG রেপো-ক্লিনারের মতো টুল ব্যবহার করুন যাতে রিপোজিটরি ইতিহাসের [S2] সব শাখা এবং ট্যাগ থেকে সংবেদনশীল ডেটা স্থায়ীভাবে মুছে ফেলা হয়।

কিভাবে FixVibe এর জন্য পরীক্ষা করে

FixVibe এখন লাইভ স্ক্যানে এটি অন্তর্ভুক্ত করে। প্যাসিভ secrets.js-bundle-sweep একই-অরিজিন জাভাস্ক্রিপ্ট বান্ডেল ডাউনলোড করে এবং পরিচিত API কী, টোকেন, এবং এনট্রপি এবং প্লেসহোল্ডার গেট সহ শংসাপত্রের নিদর্শনগুলির সাথে মিল রয়েছে৷ সম্পর্কিত লাইভ চেক ব্রাউজার স্টোরেজ, উত্স মানচিত্র, প্রমাণীকরণ এবং BaaS ক্লায়েন্ট বান্ডেল এবং GitHub রেপো উত্স নিদর্শন পরিদর্শন করে৷ গিট ইতিহাস পুনর্লিখন একটি প্রতিকার পদক্ষেপ অবশেষ; FixVibe এর লাইভ কভারেজ পাঠানো সম্পদ, ব্রাউজার স্টোরেজ, এবং বর্তমান রেপো বিষয়বস্তুতে উপস্থিত গোপনীয়তার উপর দৃষ্টি নিবদ্ধ করে।