FixVibe
Covered by FixVibehigh

API Негизги агып кетүү: Заманбап веб-тиркемелердеги тобокелдиктер жана оңдоолор

Фронт-коддогу же репозиторий тарыхындагы катуу коддолгон сырлар чабуулчуларга кызматтардын атын жамынып, жеке маалыматтарга кирүү жана чыгымдарды талап кылууга мүмкүндүк берет. Бул макалада жашыруун агып кетүү коркунучу жана тазалоо жана алдын алуу боюнча зарыл кадамдар камтылган.

CWE-798

Таасири

API ачкычтары, токендер же эсептик дайындар сыяктуу сырларды ачыкка чыгаруу купуя маалыматтарга уруксатсыз кирүүгө, кызматтын кейпин кийишине жана [S1] ресурстарын кыянаттык менен пайдалануудан улам олуттуу каржылык жоготууларга алып келиши мүмкүн. Сыр коомдук репозиторийге берилгенден кийин же алдыңкы тиркемеге бириктирилгенде, ал [S1] бузулган деп эсептелиши керек.

Негизги себеп

Негизги себеп – кийинчерээк версияны башкарууга берилген же [S1] кардарына кызмат кылган баштапкы кодго же конфигурация файлдарына купуя эсептик дайындардын түздөн-түз кошулушу. Иштеп чыгуучулар көбүнчө иштеп чыгуу учурунда ыңгайлуу болуу үчүн катуу коддуу ачкычтарды же кокусунан .env файлдарын [S1] милдеттенмелерине киргизишет.

Бетон оңдоолор

  • Киргизилген сырларды айлантыңыз: Эгер жашыруун сыр чыгып кетсе, ал дароо жокко чыгарылып, алмаштырылышы керек. Жөн гана коддун учурдагы версиясынан сырды алып салуу жетишсиз, анткени ал [S1][S2] версиясын башкаруу тарыхында калат.
  • Environment Variables колдонуңуз: Сырларды катуу коддобостон, чөйрө өзгөрмөлөрүндө сактаңыз. .env файлдары .gitignore кокусунан жасалган [S1] файлына кошулганын текшериңиз.
  • Жашыруун башкарууну ишке ашыруу: [S1] иштөө убагында колдонмо чөйрөсүнө эсептик дайындарды киргизүү үчүн атайын жашыруун башкаруу куралдарын же сактагыч кызматтарын колдонуңуз.
  • Репозиторийдин таржымалын тазалоо: Эгер Gitге сыр берилген болсо, ZXCVFIXVIBETOKEN1Z репозиторий тарыхындагы бардык тармактардан жана тегдерден купуя маалыматтарды биротоло алып салуу үчүн git-filter-repo же BFG Repo-Cleaner сыяктуу куралдарды колдонуңуз.

FixVibe аны кантип сынайт

FixVibe эми муну жандуу скандоолорго камтыйт. Пассивдүү secrets.js-bundle-sweep бир теги JavaScript таңгактарын жүктөп алып, белгилүү API ачкыч, энтропия жана толтургуч дарбазалары бар эсептик маалымат үлгүлөрүнө дал келет. Тиешелүү жандуу текшерүүлөр серепчинин сактагычын, булак карталарын, аутентификация жана BaaS кардар таңгактарын жана GitHub репо булагынын үлгүлөрүн текшерет. Гит тарыхын кайра жазуу оңдоо кадамы бойдон калууда; FixVibe түз берүүсү жөнөтүлгөн активдердеги, серепчи сактагычтагы жана учурдагы репо мазмунундагы сырларга багытталган.