FixVibe
Covered by FixVibemedium

Na-atụnyere ihe nyocha nchekwa akpaaka: ikike na ihe egwu arụ ọrụ

Ihe nyocha nchekwa akpaaka dị mkpa maka ịchọpụta adịghị ike dị ka injection SQL na XSS. Agbanyeghị, ha nwere ike mebie sistemụ ebumnuche site na mmekọrịta na-abụghị ọkọlọtọ. Nchọpụta a na-atụnyere ngwaọrụ DAST ọkachamara na ndị na-ahụ maka nchekwa n'efu wee kọwapụta omume kacha mma maka nnwale akpaaka enweghị nchekwa.

CWE-79CWE-89CWE-352CWE-611CWE-22CWE-918

Mmetụta

Ndị nyocha nchekwa akpaaka nwere ike ịchọpụta adịghị ike dị oke egwu dị ka injection SQL na Cross-Site Scripting (XSS), mana ha na-etinyekwa ihe ize ndụ nke imebi sistemụ ebumnuche n'ihi ụzọ mmekọrịta ha na-abụghị ọkọlọtọ [S1]. Nyocha nke ahaziri ezighi ezi nwere ike bute nkwụsị ọrụ, nrụrụ data, ma ọ bụ omume a na-atụghị anya ya na gburugburu adịghị ike [S1]. Ọ bụ ezie na ngwaọrụ ndị a dị mkpa maka ịchọta ahụhụ dị oke egwu na imeziwanye ọnọdụ nchekwa, ojiji ha chọrọ njikwa nlezianya iji zere mmetụta arụ ọrụ [S1].

Ihe kpatara ya

Ihe ize ndụ bụ isi sitere na ọdịdị akpaghị aka nke ngwaọrụ DAST, nke na-enyocha ngwa nwere ụgwọ akwụ ụgwọ nke nwere ike ịkpalite okwu ọnụ na mgbagha dị n'okpuru [S1]. Ọzọkwa, ọtụtụ ngwa webụsaịtị anaghị emejuputa nhazi nchekwa ndị bụ isi, dị ka nkụnye eji isi mee HTTP siri ike nke ọma, nke dị mkpa maka ịgbachitere ihe iyi egwu webụsaịtị a na-ahụkarị [S2]. Ngwa dị ka Mozilla HTTP Observatory na-eme ka oghere ndị a pụta ìhè site n'ịtụle nrube isi na usoro nchekwa na ụkpụrụ [S2].

Ike nchọpụta

Ndị nyocha ọkachamara na ọkwa obodo na-elekwasị anya n'ọtụtụ ụdị adịghị ike nwere mmetụta dị elu:

  • Mwakpo injection: Ịchọpụta injection SQL na XML Mpụga (XXE) injection [S1].
  • Arịrịọ arịrịọ: Ịmata Arịrịọ Arịrịọ n'akụkụ nkesa (SSRF) na Arịrịọ Arịrịọ saịtị (CSRF) [S1].
  • Njikwa nweta: Nchọpụta maka traversal ndekọ na ikike ndị ọzọ na-agafe [S1].
  • Nyocha nhazi: Na-enyocha isi HTTP na ntọala nchekwa iji hụ na nnabata na omume kacha mma ụlọ ọrụ [S2].

Concrete ndozi

  • Ikike nyocha nke mbụ: Gbaa mbọ hụ na onye nwe sistem nyere ikike nnwale akpaaka iji jikwaa ihe egwu nwere ike imebi [S1].
  • Nkwadebe gburugburu ebe obibi: Kwado usoro niile ezubere iche tupu ịmalite nyocha nke adịghị ike na-arụ ọrụ iji hụ na mgbake ma ọ bụrụ ọdịda [S1].
  • Mmejuputa nkụnye eji isi mee: Jiri ngwaọrụ dị ka Mozilla HTTP Observatory iji nyochaa ma mejuputa isi ihe nchekwa na-efu dị ka amụma nchekwa ọdịnaya (CSP) na Nchekwa ụgbọ njem siri ike (HSTS) ZXCVFIZXVIBETOKEN0.
  • Nnwale nlegharị anya: Na-eme nyocha dị elu nke na-arụsi ọrụ ike na nhazi dịpụrụ adịpụ ma ọ bụ gburugburu mmepe karịa mmepụta iji gbochie mmetụta arụmọrụ [S1].

Kedu ka FixVibe si nwalee ya

FixVibe ekewapụlarị ndenye nleba anya mmepụta ihe na nyocha na-arụ ọrụ nkwenye. Modul headers.security-headers na-agafe agafe na-enye mkpuchi mkpuchi ụdị Observatory na-ezigaghị ibu akwụ ụgwọ. Nlebanya mmetụta dị elu dị ka active.sqli, active.ssti, active.blind-ssrf, na nyocha ndị metụtara ya na-agba naanị mgbe nkwenye ikike ngalaba na nyocha mmalite mmalite, na ha na-eji ụgwọ na-adịghị emebi emebi.