Áhrif
Öryggishausa sem vantar er hægt að nýta til að framkvæma clickjacking, forskriftir á milli vefsvæða (XSS) eða safna upplýsingum um netþjónsumhverfið [S2]. Þegar hausum eins og Content-Security-Policy (CSP) eða X-Frame-Options er ósamræmi beitt á milli leiða, geta árásarmenn miðað á sérstakar óvarðar slóðir til að komast framhjá öryggisstýringum á vefsvæðinu ZXCVIXVIBETOKEN3ZXCV.
Orsök
Next.js gerir forriturum kleift að stilla svarhausa í next.config.js með því að nota headers eignina [S2]. Þessi uppsetning notar slóðasamsvörun sem styður jokertákn og reglulegar tjáningar [S2]. Öryggisveikleikar stafa venjulega af:
- Ófullkomin slóðaumfjöllun: Algildismynstur (t.d.
/path*) ná ekki yfir allar fyrirhugaðar undirleiðir, þannig að hreiðrar síður verða án öryggishausa [S2]. - Upplýsingagjöf: Sjálfgefið getur Next.js innihaldið
X-Powered-Byhausinn, sem sýnir rammaútgáfuna nema sérstaklega sé óvirkt í gegnumpoweredByHeaderstillinguna [S2]. - CORS rangstilling: Óviðeigandi skilgreindir
Access-Control-Allow-Originhausar innanheadersfylkisins geta leyft óviðkomandi krossupprunaaðgang að viðkvæmum gögnum [S2].
Steinsteypa lagfæringar
- Mynstur endurskoðunarslóða: Gakktu úr skugga um að öll
sourcemynstrin ínext.config.jsnoti viðeigandi jokertákn (t.d./:path*) til að nota hausa á heimsvísu þar sem þörf krefur [S2]. - Slökkva á fingrafaragerð: Stilltu
poweredByHeader: falseínext.config.jstil að koma í veg fyrir aðX-Powered-Byhausinn sé sendur [S2]. - Takmarka CORS: Stilltu
Access-Control-Allow-Originá tiltekin traust lén frekar en algildi íheadersstillingunni [S2].
Hvernig FixVibe prófar það
FixVibe gæti framkvæmt virka hliðarrannsókn með því að skríða forritið og bera saman öryggishausa ýmissa leiða. Með því að greina X-Powered-By hausinn og samkvæmni Content-Security-Policy yfir mismunandi leiðardýpt getur FixVibe greint stillingareyður í next.config.js.