FixVibe
Covered by FixVibehigh

API Негізгі ағып кету: қазіргі веб-бағдарламалардағы тәуекелдер мен түзетулер

Фронт кодындағы немесе репозиторий тарихындағы қатаң кодталған құпиялар шабуылдаушыларға қызметтерді еліктендіруге, жеке деректерге қол жеткізуге және шығындарды көтеруге мүмкіндік береді. Бұл мақала құпия ағып кету қаупін және тазалау және алдын алу үшін қажетті қадамдарды қамтиды.

CWE-798

Әсер

API кілттері, таңбалауыштар немесе тіркелгі деректері сияқты құпиялардың ағып кетуі құпия деректерге рұқсатсыз кіруге, қызметке еліктеуге және [S1] ресурстарды теріс пайдалану салдарынан елеулі қаржылық шығынға әкелуі мүмкін. Құпия жалпыға ортақ репозиторийге тапсырылғаннан кейін немесе алдыңғы қосымшаға біріктірілген болса, оны [S1] бұзылған деп санау керек.

Негізгі себеп

Түпкі себеп - кейіннен нұсқаны басқаруға бекітілген немесе [S1] клиентіне қызмет көрсетілетін бастапқы кодқа немесе конфигурация файлдарына тікелей құпия тіркелгі деректерін қосу. Әзірлеушілер әзірлеу кезінде ыңғайлы болу үшін жиі қатты кодталған кілттерді немесе кездейсоқ .env файлдарын [S1] міндеттемелеріне қосады.

Бетонды түзетулер

  • Бұзылған құпияларды айналдыру: Құпия ақпарат тарап кетсе, оның күші жойылып, дереу ауыстырылуы керек. Кодтың ағымдағы нұсқасынан құпияны жай ғана алып тастау жеткіліксіз, себебі ол [S1][S2] нұсқаны басқару тарихында қалады.
  • Ортаның айнымалы мәндерін пайдаланыңыз: Құпияларды оларды қатты кодтаудан гөрі ортаның айнымалы мәндерінде сақтаңыз. .env файлдарының .gitignore [S1] кездейсоқ әрекеттерін болдырмау үшін қосылғанына көз жеткізіңіз.
  • Құпия басқаруды жүзеге асыру: [S1] орындалу уақытында қолданба ортасына тіркелгі деректерін енгізу үшін арнайы құпия басқару құралдарын немесе қойма қызметтерін пайдаланыңыз.
  • Репозиторий тарихын тазарту: Егер құпия Git-ке берілген болса, ZXCVFIXVIBETOKEN1Z репозитарий журналындағы барлық тармақтар мен тегтерден құпия деректерді біржола жою үшін git-filter-repo немесе BFG Repo-Cleaner сияқты құралдарды пайдаланыңыз.

FixVibe оны қалай тексереді

FixVibe енді оны тікелей сканерлеуге қосады. Пассивті secrets.js-bundle-sweep бір шыққан JavaScript бумаларын жүктеп алады және белгілі API кілті, таңбалауышы және энтропия және толтырғыш қақпалары бар тіркелгі деректері үлгілеріне сәйкес келеді. Қатысты тікелей тексерулер браузер жадын, бастапқы карталарды, аутентификация және BaaS клиент бумаларын және GitHub репо көзі үлгілерін тексереді. Git тарихын қайта жазу түзету қадамы болып қала береді; FixVibe тікелей эфирі жөнелтілген активтерде, шолғыш қоймасында және ағымдағы репо мазмұнында бар құпияларға бағытталған.