FixVibe
Covered by FixVibehigh

API Raktų nutekėjimas: rizika ir taisymas šiuolaikinėse žiniatinklio programose

Užkoduotos paslaptys priekinio kodo ar saugyklos istorijoje leidžia užpuolikams apsimesti paslaugomis, pasiekti privačius duomenis ir patirti išlaidų. Šiame straipsnyje aprašoma slapto nutekėjimo rizika ir būtini valymo bei prevencijos veiksmai.

CWE-798

Poveikis

Nutekėjusios paslaptys, pvz., API raktai, prieigos raktai ar kredencialai, gali sukelti neteisėtą prieigą prie jautrių duomenų, apsimetinėjimą paslauga ir didelių finansinių nuostolių dėl piktnaudžiavimo ištekliais. [S1]. Kai paslaptis įtraukiama į viešąją saugyklą arba įtraukiama į sąsajos programą, ji turėtų būti laikoma pažeista [S1].

Pagrindinė priežastis

Pagrindinė priežastis yra jautrių kredencialų įtraukimas tiesiai į šaltinio kodą arba konfigūracijos failus, kurie vėliau yra priskirti versijos valdymui arba pateikiami klientui [S1]. Kūrėjai dažnai užkoduoja raktus, kad būtų patogu kurti, arba netyčia įtraukia .env failus į savo įsipareigojimus [S1].

Betoniniai pataisymai

  • Pakeiskite pažeistas paslaptis: jei paslaptis nutekėjo, ji turi būti nedelsiant atšaukta ir pakeista. Nepakanka vien pašalinti paslaptį iš dabartinės kodo versijos, nes ji lieka versijų valdymo istorijoje [S1][S2].
  • Naudokite aplinkos kintamuosius: saugokite paslaptis aplinkos kintamuosiuose, o ne juos koduokite. Įsitikinkite, kad .env failai yra pridėti prie .gitignore, kad išvengtumėte netyčinių įpareigojimų [S1].
  • Įdiekite slaptą valdymą: naudokite tam skirtus paslapčių valdymo įrankius arba saugyklos paslaugas, kad į programos aplinką įvestumėte kredencialus vykdymo metu [S1].
  • Išvalykite saugyklos istoriją: jei „Git“ buvo suteikta paslaptis, naudokite tokius įrankius kaip git-filter-repo arba BFG Repo-Cleaner, kad visam laikui pašalintumėte neskelbtinus duomenis iš visų atšakų ir žymų saugyklos istorijoje [S2].

Kaip FixVibe tai tikrina

FixVibe dabar tai įtraukė į tiesioginius nuskaitymus. Pasyvus secrets.js-bundle-sweep atsisiunčia tos pačios kilmės „JavaScript“ paketus ir suderina žinomus API raktų, prieigos raktų ir kredencialų šablonus su entropijos ir rezervuotos vietos vartais. Susijusios tiesioginės patikros tikrina naršyklės saugyklą, šaltinio žemėlapius, autentifikavimo ir BaaS klientų paketus ir GitHub atpirkimo šaltinio šablonus. Git istorijos perrašymas išlieka ištaisymo žingsniu; FixVibe tiesioginėje transliacijoje daugiausia dėmesio skiriama paslaptims, esančioms išsiųstame turte, naršyklės saugykloje ir dabartiniame atpirkimo turinyje.