FixVibe
Covered by FixVibehigh

API Гол алдагдлыг: Орчин үеийн вэб програм дахь эрсдэл ба засвар

Урд талын код эсвэл репозиторын түүхэн дэх хатуу кодлогдсон нууц нь халдагчдад үйлчилгээний дүр эсгэх, хувийн өгөгдөлд хандах, зардал гаргах боломжийг олгодог. Энэ нийтлэлд нууц задрах эрсдэл, цэвэрлэх, урьдчилан сэргийлэхэд шаардлагатай алхмуудыг багтаасан болно.

CWE-798

Нөлөөлөл

API түлхүүр, токен, итгэмжлэл зэрэг нууц задруулсан нь нууц мэдээлэлд зөвшөөрөлгүй хандах, үйлчилгээний дүр эсгэх, нөөцийг урвуулан ашигласан [S1] зэрэг санхүүгийн алдагдалд хүргэж болзошгүй. Нэгэнт нууцыг олон нийтийн мэдээллийн санд байршуулсан эсвэл урд талын программ болгон багцалсан бол түүнийг [S1] эвдэрсэн гэж үзнэ.

Үндсэн шалтгаан

Үүний үндсэн шалтгаан нь эх код эсвэл тохиргооны файлд нууц мэдээллийг шууд оруулсан, дараа нь хувилбарын удирдлагаар хангагдсан эсвэл [S1] үйлчлүүлэгчид үйлчилдэг. Хөгжүүлэгчид хөгжүүлэлтийн явцад хялбар болгох үүднээс түлхүүрүүдийг хатуу кодлох эсвэл санамсаргүйгээр .env файлуудыг [S1] амлалтандаа оруулдаг.

Бетон засвар

  • Алдагдсан нууцыг эргүүлэх: Хэрэв нууц задарсан бол түүнийг хүчингүй болгож, нэн даруй солих шаардлагатай. Кодын одоогийн хувилбараас нууцыг арилгах нь хангалтгүй, учир нь энэ нь [S1][S2] хувилбарын хяналтын түүхэнд үлддэг.
  • Орчны хувьсагчид ашиглах: Нууцыг хатуу кодлохын оронд орчны хувьсагчид хадгал. .env файлуудыг .gitignore-д [S1] санамсаргүй үйлдлээс урьдчилан сэргийлэхийн тулд нэмсэн эсэхийг шалгаарай.
  • Нууц менежментийг хэрэгжүүлэх: ЗXCVFIXVIBETOKEN0ZXCV ажиллах үед хэрэглээний орчинд итгэмжлэл оруулахын тулд тусгай нууц удирдлагын хэрэгсэл эсвэл хадгалалтын үйлчилгээг ашиглана уу.
  • Хадгалах сангийн түүхийг цэвэрлэх: Хэрэв Git-д нууц оруулсан бол git-filter-repo эсвэл BFG Repo-Cleaner гэх мэт хэрэгслийг ашиглан репозиторын түүхийн ZXCVFIXVIBETOKVEN1Z бүх салбар болон шошгуудаас нууц мэдээллийг бүрмөсөн устгана уу.

FixVibe үүнийг хэрхэн туршиж үздэг

FixVibe одоо үүнийг шууд сканнерд оруулдаг. Идэвхгүй secrets.js-bundle-sweep нь ижил гарал үүсэлтэй JavaScript багцуудыг татаж авах ба API түлхүүр, токен, итгэмжлэлийн загвартай энтропи болон орлуулагч хаалгатай таардаг. Холбогдох шууд шалгалтууд нь хөтчийн хадгалах сан, эх газрын зураг, auth болон BaaS клиентийн багцууд, GitHub репо эхийн хэв маягийг шалгадаг. Git түүхийг дахин бичих нь засварлах алхам хэвээр байна; FixVibe-ийн шууд нэвтрүүлэг нь ачуулсан хөрөнгө, хөтчийн хадгалалт, одоогийн репо контентод байгаа нууцад төвлөрдөг.