FixVibe
Covered by FixVibemedium

A’ dèanamh coimeas eadar sganairean tèarainteachd fèin-ghluasadach: comasan agus cunnartan obrachaidh

Tha sganaran tèarainteachd fèin-ghluasadach deatamach airson so-leòntachd èiginneach a chomharrachadh leithid in-stealladh SQL agus XSS. Ach, faodaidh iad gun fhiosta milleadh a dhèanamh air siostaman targaid tro eadar-obrachaidhean neo-àbhaisteach. Tha an rannsachadh seo a’ dèanamh coimeas eadar innealan proifeiseanta DAST agus ionadan-amhairc tèarainteachd an-asgaidh agus a’ mìneachadh nan cleachdaidhean as fheàrr airson deuchainn sàbhailte fèin-ghluasadach.

CWE-79CWE-89CWE-352CWE-611CWE-22CWE-918

Buaidh

Faodaidh sganairean tèarainteachd fèin-ghluasadach so-leòntachd a chomharrachadh leithid in-stealladh SQL agus Sgriobtadh Thar-làrach (XSS), ach tha iad cuideachd nan cunnart gun dèan iad cron air siostaman targaid mar thoradh air na dòighean eadar-obrachaidh neo-àbhaisteach aca [S1]. Faodaidh sganaidhean nach eil air an rèiteachadh gu ceart leantainn gu aimhreitean seirbheis, coirbeachd dàta, no giùlan gun dùil ann an àrainneachdan so-leònte [S1]. Ged a tha na h-innealan sin deatamach airson bugaichean èiginneach a lorg agus suidheachadh tèarainteachd a leasachadh, feumaidh an cleachdadh riaghladh faiceallach gus buaidh obrachaidh a sheachnadh [S1].

Bun-adhbhar

Tha am prìomh chunnart a’ tighinn bho nàdar fèin-ghluasadach innealan DAST, a bhios a’ sgrùdadh thagraidhean le luchdan pàighidh a dh’ fhaodadh cùisean iomaill a bhrosnachadh anns an loidsig bhunasach [S1]. A bharrachd air an sin, chan eil mòran de thagraidhean lìn a’ cur an gnìomh rèiteachaidhean tèarainteachd bunaiteach, leithid cinn-cinn HTTP air an cruadhachadh gu ceart, a tha riatanach airson dìon an aghaidh bagairtean cumanta stèidhichte air an lìon [S2]. Bidh innealan mar Amharclann Mozilla HTTP a’ soilleireachadh na beàrnan sin le bhith a’ dèanamh anailis air gèilleadh ri gluasadan tèarainteachd stèidhichte agus stiùiridhean [S2].

Comasan lorg

Bidh sganairean ìre proifeasanta is coimhearsnachd a’ cuimseachadh air grunn roinnean so-leòntachd le buaidh àrd:

  • Ionnsaighean In-stealladh: A’ lorg in-stealladh SQL agus in-stealladh XML External Entity (XXE) [S1].
  • Làimhseachadh Iarrtasan: A’ comharrachadh mealltaireachd Iarrtas Taobh an Fhrithealaiche (SSRF) agus Forgery Iarrtas Thar-làraich (CSRF) [S1].
  • Smachd Ruigsinneachd: Tha sgrùdadh airson Directory Traversal agus cead eile a’ dol seachad air [S1].
  • Mion-sgrùdadh rèiteachaidh: A’ measadh cinn-cinn HTTP agus suidheachaidhean tèarainteachd gus dèanamh cinnteach gu bheilear a’ cumail ri cleachdaidhean as fheàrr sa ghnìomhachas [S2].

Ceartachaidhean concrait

  • Ùghdarrachadh Ro-Sgan: Dèan cinnteach gu bheil gach deuchainn fèin-ghluasadach ùghdarraichte le sealbhadair an t-siostaim gus an cunnart bho mhilleadh a dh’ fhaodadh a bhith ann [S1] a riaghladh.
  • Ullachadh Àrainneachd: Cùl-taic a h-uile siostam targaid mus tòisich thu air sganaidhean so-leòntachd gnìomhach gus dèanamh cinnteach à faighinn seachad air gun fhios nach fàilligeadh [S1].
  • Buileachadh cinn: Cleachd innealan mar Amharclann Mozilla HTTP gus cinn-cinn tèarainteachd a tha a dhìth a sgrùdadh agus a chuir an gnìomh leithid Poileasaidh Tèarainteachd Susbaint (CSP) agus Strict-Transport-Security (HSTS) [S2].
  • Deuchainnean stèidse: Dèan sganaidhean gnìomhach àrd-dian ann an àrainneachdan stèidse no leasachaidh iomallach seach cinneasachadh gus casg a chuir air buaidh obrachaidh [S1].

Mar a nì FixVibe deuchainn air a shon

Tha FixVibe mu thràth a’ sgaradh sgrùdaidhean fulangach sàbhailte cinneasachadh bho probes gnìomhach le cead. Tha am modal fulangach headers.security-headers a’ toirt seachad còmhdach cinn ann an stoidhle Amharclann gun a bhith a’ cur luchdan pàighidh. Bidh sgrùdaidhean le buaidh nas àirde leithid active.sqli, active.ssti, active.blind-ssrf, agus probes co-cheangailte riutha a’ ruith dìreach às deidh dearbhadh seilbh fearainn agus dearbhadh tòiseachaidh sgan, agus bidh iad a’ cleachdadh luchdan pàighidh neo-sgriosail le geàrdan meallta-dearbhach.