FixVibe
Covered by FixVibehigh

API Lyklaleki: Áhætta og úrbætur í nútíma vefforritum

Harðkóðuð leyndarmál í framendakóða eða geymslusögu gera árásarmönnum kleift að líkjast þjónustu, fá aðgang að einkagögnum og stofna til kostnaðar. Þessi grein fjallar um hættuna á leynilegum leka og nauðsynlegar aðgerðir til hreinsunar og forvarna.

CWE-798

Áhrif

Leyndarmál leka eins og API lykla, tákn eða skilríki getur leitt til óviðkomandi aðgangs að viðkvæmum gögnum, þjónustuheimildum og verulegs fjárhagstjóns vegna misnotkunar á auðlindum [S1]. Þegar leyndarmál hefur verið skuldbundið til opinberrar geymslu eða sett í framendaforrit ætti það að teljast í hættu [S1].

Orsök

Orsökin er innlimun viðkvæmra skilríkja beint í frumkóða eða stillingarskrár sem eru síðan skuldbundnar til útgáfustýringar eða afhentar viðskiptavininum [S1]. Hönnuðir eru oft með harða kóða lykla til þæginda meðan á þróun stendur eða innihalda óvart .env skrár í skuldbindingar sínar [S1].

Steinsteypa lagfæringar

  • Snúið leyndarmálum í hættu: Ef leyndarmáli er lekið verður að afturkalla það og skipta því strax út. Einfaldlega að fjarlægja leyndarmálið úr núverandi útgáfu kóðans er ófullnægjandi vegna þess að það er áfram í útgáfustýringarsögunni [S1][S2].
  • Notaðu umhverfisbreytur: Geymdu leyndarmál í umhverfisbreytum frekar en að harðkóða þær. Gakktu úr skugga um að .env skrám sé bætt við .gitignore til að koma í veg fyrir óviljandi skuldbindingar [S1].
  • Innleiða leynistjórnun: Notaðu sérstök leyndarstjórnunarverkfæri eða geymsluþjónustu til að dæla skilríkjum inn í forritsumhverfið á keyrslutíma [S1].
  • Purge Repository History: Ef leyndarmál var framið fyrir Git, notaðu verkfæri eins og git-filter-repo eða BFG Repo-Cleaner til að fjarlægja varanlega viðkvæm gögn úr öllum greinum og merkjum í geymslusögunni [S2].

Hvernig FixVibe prófar það

FixVibe inniheldur þetta nú í beinni skönnun. Hlutlaus secrets.js-bundle-sweep hleður niður JavaScript búntum af sama uppruna og passar við þekkta API lykla, tákn og skilríkismynstur með óreiðu- og staðsetningarhliðum. Tengdar lifandi athuganir skoða geymslu vafra, upprunakort, auðkenningar- og BaaS viðskiptavinabúnta og GitHub endurhverfa upprunamynstur. Endurskrifun Git sögu er áfram skref til úrbóta; Í beinni útsendingu FixVibe er lögð áhersla á leyndarmál sem eru til staðar í eignum sem sendar eru, vafrageymslu og núverandi innihaldi endurhverfa.