FixVibe
Covered by FixVibehigh

API കീ ചോർച്ച: ആധുനിക വെബ് ആപ്പുകളിലെ അപകടസാധ്യതകളും പരിഹാരവും

ഫ്രണ്ട്എൻഡ് കോഡ് അല്ലെങ്കിൽ റിപ്പോസിറ്ററി ഹിസ്റ്ററിയിലെ ഹാർഡ്-കോഡഡ് രഹസ്യങ്ങൾ ആക്രമണകാരികളെ സേവനങ്ങൾ ആൾമാറാട്ടം ചെയ്യാനും സ്വകാര്യ ഡാറ്റ ആക്‌സസ് ചെയ്യാനും ചെലവുകൾ വരുത്താനും അനുവദിക്കുന്നു. ഈ ലേഖനം രഹസ്യ ചോർച്ചയുടെ അപകടസാധ്യതകളും ശുചീകരണത്തിനും പ്രതിരോധത്തിനുമുള്ള ആവശ്യമായ നടപടികളും ഉൾക്കൊള്ളുന്നു.

CWE-798

ആഘാതം

API കീകൾ, ടോക്കണുകൾ അല്ലെങ്കിൽ ക്രെഡൻഷ്യലുകൾ പോലെയുള്ള രഹസ്യങ്ങൾ ചോർത്തുന്നത് സെൻസിറ്റീവ് ഡാറ്റയിലേക്കുള്ള അനധികൃത ആക്‌സസ്, സേവന ആൾമാറാട്ടം, വിഭവ ദുരുപയോഗം മൂലം കാര്യമായ സാമ്പത്തിക നഷ്ടം എന്നിവയ്ക്ക് കാരണമാകും. ഒരു രഹസ്യം ഒരു പബ്ലിക് റിപ്പോസിറ്ററിയിൽ പ്രതിജ്ഞാബദ്ധമായാൽ അല്ലെങ്കിൽ ഒരു ഫ്രണ്ട്എൻഡ് ആപ്ലിക്കേഷനിലേക്ക് ബണ്ടിൽ ചെയ്‌താൽ, അത് വിട്ടുവീഴ്ച ചെയ്തതായി കണക്കാക്കണം [S1].

മൂലകാരണം

സോഴ്‌സ് കോഡിലോ കോൺഫിഗറേഷൻ ഫയലുകളിലോ നേരിട്ട് സെൻസിറ്റീവ് ക്രെഡൻഷ്യലുകൾ ഉൾപ്പെടുത്തിയതാണ് മൂലകാരണം, അത് പിന്നീട് പതിപ്പ് നിയന്ത്രണത്തിൽ പ്രതിജ്ഞാബദ്ധമായതോ [S1] ക്ലയൻ്റിലേക്ക് നൽകുന്നതോ ആണ്. ഡവലപ്പർമാർ പലപ്പോഴും സൗകര്യാർത്ഥം ഹാർഡ്-കോഡ് കീകൾ വികസിപ്പിക്കുന്നു അല്ലെങ്കിൽ .env ഫയലുകൾ അവരുടെ കമ്മിറ്റുകളിൽ [S1] അബദ്ധത്തിൽ ഉൾപ്പെടുത്തുന്നു.

കോൺക്രീറ്റ് ഫിക്സുകൾ

  • വിട്ടുവീഴ്ച ചെയ്‌ത രഹസ്യങ്ങൾ തിരിക്കുക: ഒരു രഹസ്യം ചോർന്നാൽ, അത് ഉടൻ തന്നെ അസാധുവാക്കുകയും പകരം വയ്ക്കുകയും വേണം. കോഡിൻ്റെ നിലവിലെ പതിപ്പിൽ നിന്ന് രഹസ്യം നീക്കം ചെയ്യുന്നത് പര്യാപ്തമല്ല, കാരണം ഇത് പതിപ്പ് നിയന്ത്രണ ചരിത്രത്തിൽ [S1][S2] അവശേഷിക്കുന്നു.
  • പരിസ്ഥിതി വേരിയബിളുകൾ ഉപയോഗിക്കുക: രഹസ്യങ്ങൾ ഹാർഡ്-കോഡ് ചെയ്യുന്നതിനുപകരം പരിസ്ഥിതി വേരിയബിളുകളിൽ സൂക്ഷിക്കുക. ആകസ്മികമായ കമ്മിറ്റുകൾ [S1] തടയുന്നതിന് .env ഫയലുകൾ .gitignore-ലേക്ക് ചേർത്തിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക.
  • രഹസ്യ മാനേജുമെൻ്റ് നടപ്പിലാക്കുക: റൺടൈം [S1]-ൽ ആപ്ലിക്കേഷൻ പരിതസ്ഥിതിയിലേക്ക് ക്രെഡൻഷ്യലുകൾ കുത്തിവയ്ക്കാൻ സമർപ്പിത രഹസ്യ മാനേജ്മെൻ്റ് ടൂളുകളോ വോൾട്ട് സേവനങ്ങളോ ഉപയോഗിക്കുക.
  • റിപ്പോസിറ്ററി ചരിത്രം ശുദ്ധീകരിക്കുക: ഒരു രഹസ്യം Git-ന് പ്രതിജ്ഞാബദ്ധമാണെങ്കിൽ, ശേഖര ചരിത്രത്തിലെ എല്ലാ ശാഖകളിൽ നിന്നും ടാഗുകളിൽ നിന്നും സെൻസിറ്റീവ് ഡാറ്റ ശാശ്വതമായി നീക്കം ചെയ്യാൻ git-filter-repo അല്ലെങ്കിൽ BFG Repo-Cleaner പോലുള്ള ഉപകരണങ്ങൾ ഉപയോഗിക്കുക.

എങ്ങനെയാണ് FixVibe അതിനായി പരീക്ഷിക്കുന്നത്

FixVibe ഇപ്പോൾ തത്സമയ സ്കാനുകളിൽ ഇത് ഉൾക്കൊള്ളുന്നു. നിഷ്ക്രിയ secrets.js-bundle-sweep, അതേ-ഉത്ഭവ ജാവാസ്ക്രിപ്റ്റ് ബണ്ടിലുകൾ ഡൗൺലോഡ് ചെയ്യുന്നു, കൂടാതെ അറിയപ്പെടുന്ന API കീ, ടോക്കൺ, എൻട്രോപ്പി, പ്ലെയ്‌സ്‌ഹോൾഡർ ഗേറ്റുകൾ എന്നിവയുള്ള ക്രെഡൻഷ്യൽ പാറ്റേണുകളുമായി പൊരുത്തപ്പെടുന്നു. ബന്ധപ്പെട്ട തത്സമയ പരിശോധനകൾ ബ്രൗസർ സംഭരണം, ഉറവിട മാപ്പുകൾ, ഓത്ത്, BaaS ക്ലയൻ്റ് ബണ്ടിലുകൾ, GitHub റിപ്പോ സോഴ്സ് പാറ്റേണുകൾ എന്നിവ പരിശോധിക്കുന്നു. Git ചരിത്രം തിരുത്തിയെഴുതുന്നത് ഒരു പരിഹാര നടപടിയായി തുടരുന്നു; FixVibe-യുടെ തത്സമയ കവറേജ് ഷിപ്പ് ചെയ്‌ത അസറ്റുകൾ, ബ്രൗസർ സംഭരണം, നിലവിലെ റിപ്പോ ഉള്ളടക്കങ്ങൾ എന്നിവയിൽ ഉള്ള രഹസ്യങ്ങളിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു.