ផលប៉ះពាល់អ្នកវាយប្រហារ
ZXCVFIXVIBESEG ៤ អ្នកវាយប្រហារអាចទទួលបានសិទ្ធិចូលប្រើដោយគ្មានការអនុញ្ញាតចំពោះទិន្នន័យអ្នកប្រើប្រាស់ដែលរសើប កែប្រែកំណត់ត្រាមូលដ្ឋានទិន្នន័យ ឬប្លន់ហេដ្ឋារចនាសម្ព័ន្ធដោយទាញយកការត្រួតពិនិត្យទូទៅនៅក្នុងការដាក់ពង្រាយ MVP ។ នេះរួមបញ្ចូលទាំងការចូលប្រើទិន្នន័យអ្នកជួលឆ្លងដែន ដោយសារបាត់ការគ្រប់គ្រងការចូលប្រើ [S4] ឬដោយប្រើសោ API ដែលលេចធ្លាយ ដើម្បីទទួលបានការចំណាយ និងដកទិន្នន័យចេញពីសេវាកម្មរួមបញ្ចូលគ្នា [S2] ។
ZXCVFIXVIBESEG ៥
មូលហេតុ
ZXCVFIXVIBESEG ៦ នៅក្នុងការប្រញាប់ប្រញាល់ក្នុងការបើកដំណើរការ MVP អ្នកអភិវឌ្ឍន៍ ជាពិសេសអ្នកដែលប្រើប្រាស់ "ការសរសេរកូដ vibe" ដែលមានជំនួយ AI- ជារឿយៗមើលរំលងការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពជាមូលដ្ឋាន។ កត្តាជំរុញចម្បងនៃភាពងាយរងគ្រោះទាំងនេះគឺ៖
ZXCVFIXVIBESEG ៧
- ការលេចធ្លាយសម្ងាត់៖ លិខិតសម្គាល់ដូចជាខ្សែទិន្នន័យទិន្នន័យ ឬសោអ្នកផ្តល់សេវា AI ត្រូវបានប្តេជ្ញាចិត្តដោយចៃដន្យចំពោះការគ្រប់គ្រងកំណែ [S2] ។
ZXCVFIXVIBESEG ៨
- Broken Access Control: កម្មវិធីបរាជ័យក្នុងការអនុវត្តដែនកំណត់ការអនុញ្ញាតដ៏តឹងរឹង ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចូលប្រើធនធានដែលជាកម្មសិទ្ធិរបស់អ្នកដទៃ [S4] ។
- គោលការណ៍មូលដ្ឋានទិន្នន័យអនុញ្ញាត៖ នៅក្នុងការដំឡើង BaaS (Backend-as-a-Service) បែបទំនើបដូចជា Supabase បរាជ័យក្នុងការបើក និងកំណត់រចនាសម្ព័ន្ធ Row Level Security យ៉ាងត្រឹមត្រូវ (RLS) ចាកចេញពីមូលដ្ឋានទិន្នន័យដោយផ្ទាល់។ [S5] ។
ZXCVFIXVIBESEG ១០
- Weak Token Management៖ ការគ្រប់គ្រងមិនត្រឹមត្រូវនៃសញ្ញាសម្គាល់ការផ្ទៀងផ្ទាត់អាចនាំទៅដល់ការលួចចូលប្រើ Session ឬ API ដោយគ្មានការអនុញ្ញាត [S3] ។
ZXCVFIXVIBESEG ១១
ជួសជុលបេតុង
ZXCVFIXVIBESEG ១២
អនុវត្តសុវត្ថិភាពកម្រិតជួរដេក (RLS)
ZXCVFIXVIBESEG ១៣ សម្រាប់កម្មវិធីដែលប្រើកម្មវិធីខាងក្រោយដែលមានមូលដ្ឋានលើ Postgres ដូចជា Supabase, RLS ត្រូវតែបើកនៅគ្រប់តារាងទាំងអស់។ RLS ធានាថាម៉ាស៊ីនមូលដ្ឋានទិន្នន័យខ្លួនវាអនុវត្តការរឹតត្បិតការចូលប្រើ ដោយការពារអ្នកប្រើប្រាស់ពីការសាកសួរទិន្នន័យរបស់អ្នកប្រើផ្សេងទៀត បើទោះបីជាពួកគេមានសញ្ញាសម្គាល់ការផ្ទៀងផ្ទាត់ត្រឹមត្រូវ [S5] ក៏ដោយ។
ការស្កេនសម្ងាត់ដោយស្វ័យប្រវត្តិ
ZXCVFIXVIBESEG ១៥ រួមបញ្ចូលការស្កែនសម្ងាត់ទៅក្នុងលំហូរការងារអភិវឌ្ឍន៍ ដើម្បីស្វែងរក និងទប់ស្កាត់ការជំរុញនៃព័ត៌មានសម្ងាត់ដែលរសើបដូចជាគ្រាប់ចុច API ឬវិញ្ញាបនបត្រ [S2] ។ ប្រសិនបើការសម្ងាត់ត្រូវបានលេចធ្លាយ វាត្រូវតែត្រូវបានដកហូត និងបង្វិលភ្លាមៗ ព្រោះវាគួរតែត្រូវបានចាត់ទុកថាមានការសម្របសម្រួល [S2] ។
អនុវត្តការអនុវត្តន៍សញ្ញាសម្ងាត់យ៉ាងតឹងរឹង
អនុវត្តតាមស្ដង់ដារឧស្សាហកម្មសម្រាប់សុវត្ថិភាពសញ្ញាសម្ងាត់ រួមទាំងការប្រើប្រាស់ខូគី HTTP-តែមួយគត់ដែលមានសុវត្ថិភាពសម្រាប់ការគ្រប់គ្រងសម័យ និងធានាថាសញ្ញាសម្ងាត់ត្រូវបានរារាំងដោយអ្នកផ្ញើ ដែលអាចធ្វើទៅបានដើម្បីការពារការប្រើឡើងវិញដោយអ្នកវាយប្រហារ [S3] ។
ZXCVFIXVIBESEG ១៨
អនុវត្តបឋមកថាសុវត្ថិភាពបណ្ដាញទូទៅ
ZXCVFIXVIBESEG ១៩ ត្រូវប្រាកដថាកម្មវិធីអនុវត្តវិធានការសុវត្ថិភាពគេហទំព័រស្តង់ដារ ដូចជាគោលការណ៍សុវត្ថិភាពខ្លឹមសារ (CSP) និងពិធីការដឹកជញ្ជូនសុវត្ថិភាព ដើម្បីកាត់បន្ថយការវាយប្រហារផ្អែកលើកម្មវិធីរុករកតាមអ៊ីនធឺណិតទូទៅ [S1] ។
ZXCVFIXVIBESEG ២០
របៀបដែល FixVibe ធ្វើតេស្តសម្រាប់វា។
ZXCVFIXVIBESEG ២១ FixVibe គ្របដណ្តប់ថ្នាក់លេចធ្លាយទិន្នន័យនេះរួចហើយនៅលើផ្ទៃស្កេនបន្តផ្ទាល់ជាច្រើន៖
- Supabase RLS ការប៉ះពាល់៖
baas.supabase-rlsដកស្រង់ Supabase URL/anon-key pairs ពីបណ្តុំដែលមានប្រភពដើមដូចគ្នា រាប់បញ្ចូលថាតើតារាង PostgREST ដែលត្រូវបានលាតត្រដាង ឬ SELECT ពិនិត្យលើការបញ្ជាក់ឬអត់ ទិន្នន័យតារាងត្រូវបានលាតត្រដាង។ - Repo RLS gaps:
repo.supabase.missing-rlsពិនិត្យការផ្ទេរទិន្នន័យ GitHub ឃ្លាំង SQL ដែលបានអនុញ្ញាតសម្រាប់តារាងសាធារណៈដែលត្រូវបានបង្កើតដោយគ្មានការធ្វើចំណាកស្រុកALTER TABLE ... ENABLE ROW LEVEL SECURITYដែលត្រូវគ្នា។
ZXCVFIXVIBESEG ២
- ទីតាំងផ្ទុក Supabase៖
baas.supabase-security-checklist-backfillពិនិត្យទិន្នន័យមេតាធុងផ្ទុកសាធារណៈ និងការបង្ហាញពីការចុះបញ្ជីអនាមិកដោយមិនផ្ទុកឡើង ឬផ្លាស់ប្តូរទិន្នន័យអតិថិជន។ - អាថ៌កំបាំង និងមុខងាររបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិត៖
secrets.js-bundle-sweep,headers.security-headers, និងទង់headers.cookie-attributesបានលេចធ្លាយព័ត៌មានសម្ងាត់ផ្នែកខាងអតិថិជន បាត់បឋមកថារឹងរបស់កម្មវិធីរុករក និងទង់សិទ្ធិខូគីខ្សោយ។
ZXCVFIXVIBESEG ៤
- ការស៊ើបអង្កេតត្រួតពិនិត្យការចូលប្រើ Gated៖ នៅពេលដែលអតិថិជនបើកការស្កេនសកម្ម និងភាពជាម្ចាស់ដែនត្រូវបានផ្ទៀងផ្ទាត់ ការធ្វើតេស្ត
active.idor-walkingនិងactive.tenant-isolationបានរកឃើញផ្លូវសម្រាប់ IDOR/BOLA-style cross-resource and cross-tenant data exposure។