FixVibe
Covered by FixVibemedium

Next.js Next.config.js ичинде коопсуздук темасынын туура эмес конфигурациясы

Next.js колдонмолорунун башын башкаруу үчүн next.config.js колдонуучу жолдорду дал келүү үлгүлөрү так болбосо, коопсуздук боштугуна дуушар болушат. Бул изилдөө конфигурацияны кантип катаалдаштырууну жана жашыруун каттардагы коопсуздук темаларынын жетишсиздигине алып келүүчү кооптуу белги жана регекс туура эмес конфигурацияларын изилдейт.

CWE-1021CWE-200

Таасири

Жетишпеген коопсуздук аталыштары чыкылдатуу, сайттар аралык скрипт түзүү (XSS) же [S2] сервер чөйрөсү жөнүндө маалымат чогултуу үчүн пайдаланылышы мүмкүн. Content-Security-Policy (CSP) же X-Frame-Options сыяктуу аталыштар каттамдар боюнча ыраатсыз колдонулганда, чабуулчулар ZXCOKVFIXVIBCVIXVIXVIXVIXZZXCOKVIXZ коопсуздук элементтерин айланып өтүү үчүн атайын корголбогон жолдорду бутага алышат.

Негизги себеп

Next.js иштеп чыгуучуларга next.config.js ичинде headers мулк [S2] аркылуу жооп баштарын конфигурациялоого мүмкүндүк берет. Бул конфигурацияда айкалыштыруу белгилерин жана [S2] кадимки туюнтмаларын колдогон жол дал келүүсү колдонулат. Коопсуздук алсыздыктары адатта төмөнкүлөрдөн келип чыгат:

  • Толук эмес жолду камтуу: Жапайы белгилердин үлгүлөрү (мис., /path*) бардык пландаштырылган кичи маршруттарды камтыбай, уяланган барактарды [S2] коопсуздук аталыштары жок калтырышы мүмкүн.
  • Маалыматтын ачылышы: демейки боюнча, Next.js X-Powered-By X-Powered-By конфигурациясы poweredByHeader конфигурациясы poweredByHeader2.
  • CORS Туура эмес конфигурация: headers массивиндеги туура эмес аныкталган Access-Control-Allow-Origin аталыштары headers купуя маалыматтарга уруксатсыз кайчылаш кирүү мүмкүнчүлүгүн берет.

Бетон оңдоолор

  • Текшерүү жолунун үлгүлөрү: source үлгүлөрүнүн бардык next.config.js үлгүлөрү зарыл болгон жерде баш аттарды дүйнөлүк масштабда колдонуу үчүн ылайыктуу айкалыштыруу белгилерин (мис., /:path*) колдонушун камсыз кылыңыз.
  • Манжа изин өчүрүү: poweredByHeader: false next.config.js ичинде X-Powered-By аталышынын [S2] жөнөтүлүшүнө жол бербөө үчүн коюңуз.
  • CORS чектөө: headers конфигурациясынын [S2] конфигурациясында Access-Control-Allow-Origin конфигурациясынан эмес, белгилүү бир ишенимдүү домендерге коюңуз.

FixVibe аны кантип сынайт

FixVibe тиркемени кыдырып жана ар кандай каттамдардын коопсуздук аталыштарын салыштыруу аркылуу активдүү дарбазалуу иликтөө жүргүзө алат. X-Powered-By башын жана ар кандай жол тереңдиктериндеги Content-Security-Policy ырааттуулугун талдоо менен, FixVibe next.config.js конфигурациясынын боштуктарын аныктай алат.