FixVibe
Covered by FixVibemedium

API Lisitra fanamarinana fiarovana: Zavatra 12 hojerena alohan'ny handehanana mivantana

Ny API no fototry ny rindranasa an-tranonkala maoderina saingy matetika tsy ampy ny fiarovana amin'ny endriny mahazatra. Ity lahatsoratra fikarohana ity dia manoritra lisitry ny fanamarinana ilaina amin'ny fiarovana ny API, mifantoka amin'ny fanaraha-maso ny fidirana, ny famerana ny tahan'ny, ary ny fifampizaràna loharanon-karena (CORS) mba hisorohana ny fandikana ny angona sy ny fanararaotana serivisy.

CWE-285CWE-799CWE-942

Fiantraikany

Mamela ny mpanafika handalo ny fifandraisan'ny mpampiasa sy hifanerasera mivantana amin'ny angon-drakitra sy serivisy backend [S1] ny API voatohintohina. Izany dia mety hitarika amin'ny famoahana angon-drakitra tsy nahazoana alalana, fandraisan'anjaran'ny kaonty amin'ny alalan'ny herisetra, na tsy fisian'ny serivisy noho ny faharerahan'ny loharanon-karena [S3][S5].

Antony fototra

Ny antony fototra voalohany dia ny fampiharihariana ny lojika anatiny amin'ny alàlan'ny teboka farany izay tsy ampy fanamarinana sy fiarovana [S1]. Matetika ny mpamorona no mihevitra fa raha toa ka tsy hita ao amin'ny UI ny endri-javatra iray dia azo antoka izany, mitarika ho amin'ny fanaraha-maso ny fidirana tapaka [S2] sy ny politika CORS mamela izay matoky ny fiaviana be loatra [S4].

API lisitra fanamarinana fiarovana

  • Ampiharo ny fanaraha-maso henjana amin'ny fidirana: Ny teboka rehetra dia tsy maintsy manamarina fa ny mpangataka dia manana ny fahazoan-dàlana mifanaraka amin'ny loharano manokana idirana [S2].
  • Ampiharo ny famerana ny sarany: Miaro amin'ny fanararaotana mandeha ho azy sy ny fanafihana DoS amin'ny famerana ny isan'ny fangatahana azon'ny mpanjifa atao ao anatin'ny fe-potoana voafaritra [S3].
  • Amboary tsara ny CORS: Fadio ny fampiasana ny fiaviana amin'ny karatra wildcard (*) ho an'ny teboka farany voamarina. Farito mazava ny fiaviana navela mba hisorohana ny fiparitahan'ny angona eo amin'ny toerana [S4].
  • Fijerena ny teboka faran'ny fanaraha-maso: Fikarohana tsy tapaka ny teboka "miafina" na tsy misy taratasy izay mety hampiharihary ny fiasa saro-pady [S1].

Ahoana no andrana FixVibe momba izany

FixVibe izao dia mandrakotra ity lisitry ny fanamarinana ity amin'ny alàlan'ny fisavana mivantana maro. Ny probes active-gated dia manandrana ny famerana ny tahan'ny fiafaran'ny mari-pamantarana, CORS, CSRF, tsindrona SQL, fahalemen'ny auth-flow, ary olana hafa miatrika API raha tsy aorian'ny fanamarinana. Ny fisavana passive dia manara-maso ny lohatenin'ny fiarovana, ny antontan-taratasy API ho an'ny daholobe ary ny fiposahan'ny OpenAPI, ary ny tsiambaratelo ao anaty fonosana mpanjifa. Ny scan Repo dia manampy famerenan'ny risika amin'ny kaody ho an'ny CORS tsy azo antoka, fifandimbiasana SQL manta, tsiambaratelo JWT malemy, fampiasa JWT tsy misy kaody, banga sonia webhook ary olana momba ny fiankinan-doha.