FixVibe
Covered by FixVibemedium

ការប្រៀបធៀបម៉ាស៊ីនស្កេនសុវត្ថិភាពស្វ័យប្រវត្តិ៖ សមត្ថភាព និងហានិភ័យប្រតិបត្តិការ

ZXCVFIXVIBESEG ២ ម៉ាស៊ីនស្កែនសុវត្ថិភាពស្វ័យប្រវត្តិគឺចាំបាច់សម្រាប់កំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះសំខាន់ៗដូចជា SQL injection និង XSS ។ ទោះយ៉ាងណាក៏ដោយ ពួកគេអាចបំផ្លាញប្រព័ន្ធគោលដៅដោយអចេតនា តាមរយៈអន្តរកម្មមិនស្តង់ដារ។ ការស្រាវជ្រាវនេះប្រៀបធៀបឧបករណ៍ DAST ដែលមានជំនាញវិជ្ជាជីវៈជាមួយនឹងឧបករណ៍សង្កេតសុវត្ថិភាពដោយឥតគិតថ្លៃ និងរៀបរាប់ពីការអនុវត្តល្អបំផុតសម្រាប់ការធ្វើតេស្តដោយស្វ័យប្រវត្តិប្រកបដោយសុវត្ថិភាព។

CWE-79CWE-89CWE-352CWE-611CWE-22CWE-918

ផលប៉ះពាល់

ZXCVFIXVIBESEG ៤ ម៉ាស៊ីនស្កេនសុវត្ថិភាពស្វ័យប្រវត្តិអាចកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះសំខាន់ៗដូចជា SQL injection និង Cross-Site Scripting (XSS) ប៉ុន្តែពួកវាក៏បង្កហានិភ័យនៃការបំផ្លាញប្រព័ន្ធគោលដៅផងដែរ ដោយសារវិធីសាស្ត្រអន្តរកម្មមិនស្តង់ដាររបស់ពួកគេ [S1] ។ ការស្កេនដែលបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវអាចនាំឱ្យមានការរំខានដល់សេវាកម្ម អំពើពុករលួយទិន្នន័យ ឬអាកប្បកិរិយាអចេតនានៅក្នុងបរិស្ថានដែលងាយរងគ្រោះ [S1] ។ ខណៈពេលដែលឧបករណ៍ទាំងនេះមានសារៈសំខាន់សម្រាប់ការស្វែងរកកំហុសសំខាន់ៗ និងការកែលម្អឥរិយាបថសុវត្ថិភាព ការប្រើប្រាស់របស់ពួកគេតម្រូវឱ្យមានការគ្រប់គ្រងយ៉ាងប្រុងប្រយ័ត្ន ដើម្បីជៀសវាងផលប៉ះពាល់នៃប្រតិបត្តិការ [S1] ។

ZXCVFIXVIBESEG ៥

មូលហេតុ

ZXCVFIXVIBESEG ៦ ហានិភ័យចម្បងកើតចេញពីលក្ខណៈស្វ័យប្រវត្តិនៃឧបករណ៍ DAST ដែលស៊ើបអង្កេតកម្មវិធីជាមួយនឹងបន្ទុកដែលអាចបង្កឱ្យមានករណីគែមនៅក្នុងតក្កវិជ្ជាមូលដ្ឋាន [S1] ។ លើសពីនេះ កម្មវិធីបណ្តាញជាច្រើនមិនបានអនុវត្តការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពជាមូលដ្ឋាន ដូចជាបឋមកថា HTTP រឹងត្រឹមត្រូវ ដែលមានសារៈសំខាន់សម្រាប់ការពារប្រឆាំងនឹងការគំរាមកំហែងតាមគេហទំព័រទូទៅ [S2] ។ ឧបករណ៍ដូចជា Mozilla HTTP Observatory គូសបញ្ជាក់ពីគម្លាតទាំងនេះដោយការវិភាគការអនុលោមតាមនិន្នាការសុវត្ថិភាពដែលបានបង្កើតឡើង និងគោលការណ៍ណែនាំ [S2] ។

ZXCVFIXVIBESEG ៧

សមត្ថភាពរកឃើញ

ZXCVFIXVIBESEG ៨ ម៉ាស៊ីនស្កេនកម្រិតវិជ្ជាជីវៈ និងសហគមន៍ផ្តោតលើប្រភេទភាពងាយរងគ្រោះដែលមានឥទ្ធិពលខ្ពស់មួយចំនួន៖

  • ការ​វាយ​ប្រហារ​ដោយ​ការ​ចាក់​បញ្ចូល៖ ការ​រក​ឃើញ​ការ​ចាក់ SQL និង XML External Entity (XXE) ចាក់ [S1] ។

ZXCVFIXVIBESEG ១០

  • ការចាត់ចែងសំណើ៖ ការកំណត់អត្តសញ្ញាណការក្លែងបន្លំការស្នើសុំផ្នែកខាងម៉ាស៊ីនមេ (SSRF) និងសំណើសុំក្លែងក្លាយឆ្លងដែន (CSRF) [S1] ។

ZXCVFIXVIBESEG ១១

  • ការគ្រប់គ្រងការចូលប្រើ៖ ការស៊ើបអង្កេតសម្រាប់ការឆ្លងកាត់ការថតចម្លង និងការអនុញ្ញាតផ្សេងទៀតឆ្លងកាត់ [S1] ។

ZXCVFIXVIBESEG ១២

  • ការវិភាគការកំណត់រចនាសម្ព័ន្ធ៖ ការវាយតម្លៃបឋមកថា HTTP និងការកំណត់សុវត្ថិភាព ដើម្បីធានាបាននូវការអនុលោមតាមការអនុវត្តល្អបំផុតរបស់ឧស្សាហកម្ម [S2] ។

ZXCVFIXVIBESEG ១៣

ជួសជុលបេតុង

  • ការអនុញ្ញាតមុនការស្កេន៖ ត្រូវប្រាកដថាការធ្វើតេស្តស្វ័យប្រវត្តិទាំងអស់ត្រូវបានអនុញ្ញាតដោយម្ចាស់ប្រព័ន្ធដើម្បីគ្រប់គ្រងហានិភ័យនៃការខូចខាតដែលអាចកើតមាន [S1] ។

ZXCVFIXVIBESEG ១៥

  • ការរៀបចំបរិស្ថាន៖ បម្រុងទុកប្រព័ន្ធគោលដៅទាំងអស់ មុនពេលចាប់ផ្តើមការស្កេនភាពងាយរងគ្រោះសកម្ម ដើម្បីធានាការស្តារឡើងវិញក្នុងករណីបរាជ័យ [S1] ។
  • ការអនុវត្តបឋមកថា៖ ប្រើឧបករណ៍ដូចជា Mozilla HTTP Observatory ដើម្បីសវនកម្ម និងអនុវត្តបឋមកថាសុវត្ថិភាពដែលបាត់ ដូចជាគោលការណ៍សុវត្ថិភាពខ្លឹមសារ (CSP) និងសុវត្ថិភាពដឹកជញ្ជូនតឹងរឹង (HSTS) [S2]។
  • ការធ្វើតេស្តដំណាក់កាល៖ ធ្វើការស្កែនសកម្មដែលមានអាំងតង់ស៊ីតេខ្ពស់នៅក្នុងដំណាក់កាលដាច់ដោយឡែក ឬបរិយាកាសអភិវឌ្ឍន៍ជាជាងការផលិត ដើម្បីការពារផលប៉ះពាល់ប្រតិបត្តិការ [S1] ។

ZXCVFIXVIBESEG ១៨

របៀបដែល FixVibe ធ្វើតេស្តសម្រាប់វា។

FixVibe បំបែកការត្រួតពិនិត្យអកម្មសុវត្ថិភាពផលិតកម្មរួចហើយពីការស៊ើបអង្កេតសកម្មដែលទទួលបានការយល់ព្រម។ ម៉ូឌុល headers.security-headers អកម្មផ្តល់នូវការគ្របដណ្តប់បឋមកថារចនាប័ទ្ម Observatory ដោយមិនចាំបាច់ផ្ញើបន្ទុក។ ការត្រួតពិនិត្យផលប៉ះពាល់ខ្ពស់ដូចជា active.sqli, active.ssti, active.blind-ssrf និងការស៊ើបអង្កេតដែលពាក់ព័ន្ធដំណើរការតែបន្ទាប់ពីការផ្ទៀងផ្ទាត់កម្មសិទ្ធិដែន និងការបញ្ជាក់ការស្កេនចាប់ផ្តើមប៉ុណ្ណោះ ហើយពួកគេប្រើប្រាស់បន្ទុកដែលមិនបំផ្លិចបំផ្លាញដែលមានព្រំដែនជាមួយនឹងការការពារមិនពិត។-positive