후크
Vercel 배포를 보호하려면 배포 보호 및 사용자 정의 HTTP 헤더 [S2][S3]와 같은 보안 기능의 활성 구성이 필요합니다. 기본 설정에 의존하면 환경과 사용자가 무단 액세스 또는 클라이언트 측 취약성 [S2][S3]에 노출될 수 있습니다.
달라진 점
Vercel는 호스팅된 애플리케이션 [S2][S3]의 보안 상태를 강화하기 위해 배포 보호 및 사용자 정의 헤더 관리를 위한 특정 메커니즘을 제공합니다. 이러한 기능을 통해 개발자는 환경 액세스를 제한하고 브라우저 수준 보안 정책 [S2][S3]를 시행할 수 있습니다.
영향을 받는 사람
Vercel를 사용하는 조직은 해당 환경에 대한 배포 보호를 구성하지 않았거나 해당 애플리케이션 [S2][S3]에 대한 사용자 지정 보안 헤더를 정의하지 않은 경우 영향을 받습니다. 이는 민감한 데이터 또는 비공개 미리 보기 배포 [S2]를 관리하는 팀에 특히 중요합니다.
문제의 작동 방식
Vercel 배포는 [S2] 액세스를 제한하기 위해 배포 보호가 명시적으로 활성화되지 않는 한 생성된 URL을 통해 액세스할 수 있습니다. 또한 사용자 정의 헤더 구성이 없으면 애플리케이션에는 기본적으로 [S3]에 적용되지 않는 콘텐츠 보안 정책(CSP)과 같은 필수 보안 헤더가 부족할 수 있습니다.
공격자가 얻는 것
배포 보호가 활성화되지 않은 경우 공격자는 잠재적으로 제한된 미리 보기 환경에 액세스할 수 있습니다. [S2]. 보안 헤더가 없으면 브라우저에 악성 활동 [S3]를 차단하는 데 필요한 지침이 부족하므로 성공적인 클라이언트 측 공격의 위험도 높아집니다.
FixVibe가 이를 테스트하는 방법
FixVibe는 이제 이 연구 주제를 두 개의 패시브 검사에 매핑합니다. headers.vercel-deployment-security-backfill는 인증되지 않은 일반적인 요청이 Vercel 인증, SSO, 비밀번호 또는 배포 보호 문제 대신 생성된 동일한 호스트에서 2xx/3xx 응답을 반환하는 경우에만 Vercel 생성 *.vercel.app 배포 URL에 플래그를 지정합니다. [S2]. headers.security-headers는 CSP, HSTS, X-Content-Type-Options, Referrer-Policy, Permissions-Policy 및 Vercel 또는 애플리케이션을 통해 구성된 클릭재킹 방어에 대한 공개 프로덕션 응답을 별도로 검사합니다. [S3]. FixVibe는 배포 URL을 무차별 공격하거나 보호된 미리 보기를 우회하려고 시도하지 않습니다.
고쳐야 할 점
Vercel 대시보드에서 배포 보호를 활성화하여 미리 보기 및 프로덕션 환경 [S2]를 보호하세요. 또한 일반적인 웹 기반 공격 [S3]로부터 사용자를 보호하기 위해 프로젝트 구성 내에서 사용자 지정 보안 헤더를 정의하고 배포합니다.