FixVibe
Covered by FixVibehigh

API Gako ihesa: arriskuak eta konponketa web aplikazio modernoetan

Frontend kodean edo biltegiaren historian gogor kodetutako sekretuei esker, erasotzaileek zerbitzuak ordezka ditzakete, datu pribatuak atzitu eta kostuak sor ditzakete. Artikulu honek isurketa sekretuaren arriskuak eta garbiketa eta prebentziorako beharrezko urratsak biltzen ditu.

CWE-798

Eragina

API gakoak, tokenak edo kredentzialak bezalako sekretuak isurtzeak datu sentikorrak baimenik gabe atzitzea, zerbitzuaren nortasuna eta finantza-galera handiak ekar ditzake [S1] baliabideen gehiegikeriagatik. Sekretu bat biltegi publiko batera konprometituta edo frontend-eko aplikazio batean bildutakoan, arriskutsutzat jo behar da [S1].

Arrazoia

Oinarrizko arrazoia kredentzial sentikorrak zuzenean sartzea da iturburu-kodean edo konfigurazio-fitxategietan, gero bertsio-kontrolerako konprometituta dauden edo [S1] bezeroari hornitzen zaizkionak. Garatzaileek sarritan kode gogorreko teklak kodetzen dituzte garapenean zehar erosotasunerako edo ustekabean sartzen dituzte .env fitxategiak beren konpromezuetan [S1].

Konponketa konkretuak

  • Biratu konprometitutako sekretuak: sekretu bat filtratzen bada, berehala kendu eta ordezkatu behar da. Kodearen uneko bertsiotik sekretua kentzea besterik ez da nahikoa bertsio-kontroleko historian geratzen delako [S1][S2].
  • Erabili ingurune-aldagaiak: Gorde sekretuak ingurune-aldagaietan gogor kodetu beharrean. Ziurtatu .env fitxategiak .gitignore-ra gehitzen direla [S1] ustekabeko konpromisoak saihesteko.
  • Kudeaketa sekretua ezarri: Erabili sekretuak kudeatzeko tresnak edo ganga-zerbitzuak aplikazio-ingurunean kredentzialak txertatzeko [S1] exekuzioan.
  • Purgatu biltegiaren historia: sekretu bat Git-ekin konprometituta bazegoen, erabili git-filter-repo edo BFG Repo-Cleaner bezalako tresnak betirako kentzeko [S2] biltegiaren historiako adar eta etiketa guztietako datu sentikorrak.

FixVibe probak nola egiten dituen

FixVibe-k zuzeneko analisietan sartzen du orain. secrets.js-bundle-sweep pasiboak jatorri bereko JavaScript sortak deskargatzen ditu eta API gako, token eta kredentzial eredu ezagunekin bat egiten du entropia eta leku-marken ateekin. Erlazionatutako zuzeneko egiaztapenek arakatzailearen biltegia, iturburu-mapak, autentifikazioa eta BaaS bezero-sorta eta GitHub repo iturburu-ereduak aztertzen dituzte. Git historiaren berridazketa konponketa-urrats bat izaten jarraitzen du; FixVibe-ren zuzeneko estaldura bidaltzen diren aktiboetan, arakatzailearen biltegiratzean eta uneko errepo-edukietan dauden sekretuetan zentratzen da.