フック
Vercel 展開を保護するには、展開保護やカスタム HTTP ヘッダー [S2][S3] などのセキュリティ機能をアクティブに構成する必要があります。デフォルト設定に依存すると、環境やユーザーが不正アクセスやクライアント側の脆弱性 ([S2][S3]) にさらされる可能性があります。
何が変わったのか
Vercel は、ホストされたアプリケーション [S2][S3] のセキュリティ体制を強化するために、展開保護とカスタム ヘッダー管理のための特定のメカニズムを提供します。これらの機能により、開発者は環境へのアクセスを制限し、ブラウザ レベルのセキュリティ ポリシー [S2][S3] を適用できます。
影響を受けるのは誰ですか
Vercel を使用している組織は、環境に展開保護を構成していない場合、またはアプリケーション [S2][S3] にカスタム セキュリティ ヘッダーを定義していない場合に影響を受けます。これは、機密データやプライベート プレビュー展開 [S2] を管理するチームにとって特に重要です。
問題の仕組み
Vercel デプロイメントは、デプロイメント保護が明示的に有効になって [S2] へのアクセスを制限しない限り、生成された URL 経由でアクセスできる場合があります。さらに、カスタム ヘッダー構成がないと、アプリケーションには、デフォルトでは適用されないコンテンツ セキュリティ ポリシー (CSP) などの重要なセキュリティ ヘッダーが不足する可能性があります ([S3])。
攻撃者が得られるもの
Deployment Protection がアクティブでない場合、攻撃者は制限されたプレビュー環境にアクセスする可能性があります。セキュリティ ヘッダーがない場合、ブラウザには悪意のあるアクティビティ ([S3]) をブロックするために必要な命令が欠けているため、クライアント側の攻撃が成功するリスクも高まります。
FixVibe がそれをテストする方法
FixVibe は、この研究トピックを 2 つの出荷済みパッシブ チェックにマッピングするようになりました。 headers.vercel-deployment-security-backfill は、通常の非認証リクエストが Vercel 認証、SSO、パスワード、または展開保護チャレンジ [S2] ではなく、同じ生成されたホストから 2xx/3xx 応答を返した場合にのみ、Vercel で生成された *.vercel.app デプロイメント URL にフラグを立てます。 headers.security-headers は、CSP、HSTS、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、および Vercel またはアプリケーション [S3] を通じて構成されたクリックジャッキング防御のパブリック プロダクション レスポンスを個別に検査します。 FixVibe は、展開 URL をブルート フォース攻撃したり、保護されたプレビューをバイパスしたりしません。
何を修正するか
Vercel ダッシュボードで展開保護を有効にして、プレビュー環境と運用環境 [S2] を保護します。さらに、プロジェクト構成内でカスタム セキュリティ ヘッダーを定義して展開し、一般的な Web ベースの攻撃 [S3] からユーザーを保護します。