FixVibe
Covered by FixVibemedium

Next.js Next.config.js дээрх аюулгүй байдлын толгой хэсгийн буруу тохиргоо

Толгойн удирдлагад next.config.js ашигладаг Next.js программууд зам тааруулах загвар тодорхой бус байвал аюулгүй байдлын цоорхойд өртөмтгий байдаг. Энэхүү судалгаа нь орлуулагч тэмдэгт болон regex-ийн буруу тохиргоо нь эмзэг маршрутууд дээр аюулгүй байдлын гарчиг алга болоход хүргэдэг ба тохиргоог хэрхэн хатууруулах талаар судалдаг.

CWE-1021CWE-200

Нөлөөлөл

Алга болсон хамгаалалтын толгойнуудыг товшилт хийх, сайт хоорондын скрипт хийх (XSS) эсвэл [S2] серверийн орчны талаарх мэдээллийг цуглуулахад ашиглаж болно. Content-Security-Policy (CSP) эсвэл X-Frame-Options зэрэг гарчигуудыг чиглүүлэлтэд нийцэхгүй ашиглах үед халдагчид ZXCOKVIXVIXVIXVIXVICZ сайтын аюулгүй байдлын хяналтыг тойрч гарахын тулд тусгай хамгаалалтгүй замыг чиглүүлж болно.

Үндсэн шалтгаан

Next.js нь хөгжүүлэгчдэд next.config.js доторх headers шинж чанарыг [S2] ашиглан хариу толгойг тохируулах боломжийг олгодог. Энэ тохиргоо нь зэрлэг тэмдэгтүүд болон [S2] тогтмол илэрхийллүүдийг дэмждэг замын тохируулгыг ашигладаг. Аюулгүй байдлын эмзэг байдал нь ихэвчлэн дараахь зүйлээс үүсдэг.

  • Бүрэн бус замын хамрах хүрээ: Зэрлэг тэмдэгт загварууд (жишээ нь, /path*) бүх зорьсон дэд маршрутуудыг хамрахгүй байж болзошгүй тул үүрлэсэн хуудсыг [S2] хамгаалалтын толгойгүй үлдээж болно.
  • Мэдээллийн тодруулга: Өгөгдмөл байдлаар, Next.js нь poweredByHeader тохиргооны poweredByHeader poweredByHeader тохиргооны ZXCVFIXVIXVIXVIXVIXVIXVIXVCVCVXVIXVCVCVXVIXVCVCVCV2-ээр дамжуулан тодорхой идэвхгүй болгохоос бусад тохиолдолд хүрээний хувилбарыг харуулсан X-Powered-By толгой хэсгийг агуулж болно.
  • CORS Тохиргооны буруу: headers массив доторх буруу тодорхойлсон Access-Control-Allow-Origin гарчиг нь headers эмзэг өгөгдөлд зөвшөөрөлгүй хөндлөн гарал үүсэлтэй хандах боломжийг олгоно.

Бетон засвар

  • Аудитын замын загвар: source-н бүх загварт next.config.js-д тохирох тэмдэгтүүдийг (жишээ нь, /:path*) ашиглаж байгаа эсэхийг шалгаарай.
  • Хурууны хээг идэвхгүй болгох: X-Powered-By толгой хэсгийг [S2] илгээхээс сэргийлэхийн тулд poweredByHeader: falsenext.config.js-д тохируулна уу.
  • CORS-г хязгаарлах: headers тохиргооны [S2]-д Access-Control-Allow-Origin-г орлуулагч биш харин тодорхой итгэмжлэгдсэн домэйнд тохируулна уу.

FixVibe үүнийг хэрхэн туршиж үздэг

FixVibe програмыг мөлхөж, янз бүрийн чиглүүлэлтийн хамгаалалтын толгойнуудыг харьцуулж идэвхтэй хаалгатай шалгалт хийж чадна. X-Powered-By гарчиг болон өөр өөр замын гүн дэх Content-Security-Policy-ийн тууштай байдалд дүн шинжилгээ хийснээр FixVibe нь next.config.js дахь тохиргооны цоорхойг тодорхойлж чадна.