Довтлогчийн нөлөө
Халдагчид MVP байршуулалтын нийтлэг хяналтыг ашиглан нууц хэрэглэгчийн өгөгдөлд зөвшөөрөлгүй хандах, мэдээллийн сангийн бүртгэлийг өөрчлөх, дэд бүтцийг булаан авах боломжтой. Үүнд [S4] хандалтын хяналт дутсаны улмаас түрээслэгч хоорондын өгөгдөлд хандах эсвэл задруулсан API түлхүүрүүдийг ашиглан зардал гаргах, [S2] нэгдсэн үйлчилгээнээс өгөгдлийг гадагшлуулах зэрэг орно.
Үндсэн шалтгаан
MVP-г эхлүүлэх гэж яарах үед хөгжүүлэгчид, ялангуяа AI-ийн тусламжтай "виб кодчилол" ашигладаг хүмүүс аюулгүй байдлын үндсэн тохиргоог ихэвчлэн анзаардаггүй. Эдгээр эмзэг байдлын үндсэн драйверууд нь:
- Нууц алдагдах: Өгөгдлийн сангийн тэмдэгтүүд эсвэл AI үйлчилгээ үзүүлэгчийн түлхүүр зэрэг итгэмжлэлүүд нь [S2] хувилбарын удирдлагад санамсаргүй байдлаар холбогдсон байна.
- Хандалтын хяналт эвдэрсэн: Аппликейшн нь зөвшөөрлийн хатуу хил хязгаарыг мөрддөггүй тул хэрэглэгчдэд бусад [S4]-ийн нөөцөд хандах боломжийг олгодог.
- Зөвшөөрөгдсөн мэдээллийн сангийн бодлого: Supabase гэх мэт орчин үеийн BaaS (Үйлчилгээний арын хэсэг) тохиргоонд мөрийн түвшний аюулгүй байдлыг (ZXCVFIXVIBETOKVEN2Z-ээр дамжуулан шууд өгөгдлийн санг нээх) идэвхжүүлж, зөв тохируулж чадаагүй байна. номын сангууд [S5].
- Сул токен менежмент: Баталгаажуулалтын жетонтой буруу харьцах нь сесс хулгайлах эсвэл зөвшөөрөлгүй API [S3] нэвтрэхэд хүргэж болзошгүй.
Бетон засвар
Мөрийн түвшний хамгаалалтыг хэрэгжүүлэх (RLS)
Supabase гэх мэт Postgres-д суурилсан backends ашигладаг програмуудын хувьд RLS хүснэгт бүр дээр идэвхжсэн байх ёстой. RLS нь өгөгдлийн сангийн хөдөлгүүр нь өөрөө нэвтрэх хязгаарлалтыг хэрэгжүүлдэг бөгөөд хэрэглэгч [S5] хүчинтэй таних тэмдэгтэй байсан ч өөр хэрэглэгчийн өгөгдлийг асуухаас сэргийлдэг.
Нууц сканнерыг автоматжуулах
API түлхүүр эсвэл [S2] сертификат зэрэг эмзэг итгэмжлэлүүдийн түлхэлтийг илрүүлж, блоклохын тулд нууц сканнерыг хөгжүүлэлтийн ажлын урсгалд нэгтгэнэ үү. Хэрэв нууц задруулсан бол түүнийг хүчингүй болгож, нэн даруй эргүүлэх шаардлагатай, учир нь үүнийг эвдэрсэн [S2] гэж үзэх ёстой.
Токенын хатуу практикийг хэрэгжүүл
[S3] халдагчид дахин ашиглахаас урьдчилан сэргийлэхийн тулд сессийг удирдахад аюулгүй, зөвхөн HTTP күүки ашиглах, жетоныг илгээгчээр хязгаарлах зэрэг жетоны аюулгүй байдлын салбарын стандартыг дагаж мөрдөөрэй.
Веб аюулгүй байдлын ерөнхий толгойнуудыг ашиглах
ЗХCVFIXVIBETOKEN0ZXCV хөтөч дээр суурилсан нийтлэг халдлагыг багасгахын тулд Агуулгын аюулгүй байдлын бодлого (CSP) болон аюулгүй тээвэрлэлтийн протоколууд зэрэг вэбийн аюулгүй байдлын стандарт арга хэмжээг программ хэрэгжүүлж байгаа эсэхийг шалгаарай.
FixVibe үүнийг хэрхэн туршиж үздэг
FixVibe нь олон тооны амьд сканнерын гадаргуу дээр өгөгдөл алдагдах энэ ангиллыг аль хэдийн хамарсан:
- Supabase RLS өртөх:
baas.supabase-rlsнь ижил гарал үүсэлтэй багцуудаас олон нийтийн Supabase URL/anon-key хосуудыг задлах, унших, тайлагнах, тоолох хүснэгтүүд нэргүй SELECT нь хүснэгтийн өгөгдөл ил гарсан эсэхийг шалгадаг. - Repo RLS цоорхой:
repo.supabase.missing-rlsзөвшөөрөгдсөн GitHub репозиторын SQL шилжилтийг хянаж, тэдгээрт тохирох ZXCVFIXVIBETOKEN1ZXV шилжүүлэлтгүйгээр үүсгэгдсэн нийтийн хүснэгтэд зориулсан. - Supabase хадгалах байрлал:
baas.supabase-security-checklist-backfillнь хэрэглэгчийн өгөгдлийг байршуулах, өөрчлөхгүйгээр нийтийн Хадгалах сангийн мета өгөгдөл болон нэргүй жагсаалтын өртөлтийг хянадаг. - Нууц ба хөтчийн байрлал:
secrets.js-bundle-sweep,headers.security-headers, болонheaders.cookie-attributesтуг нь үйлчлүүлэгчийн итгэмжлэлүүд, хөтчийн хатууруулах гарчиг дутуу, баталгаажуулалтын күүкийн дарцаг сул байна. - Хаалттай хандалтын хяналтын туршилтууд: үйлчлүүлэгч идэвхтэй сканнердах ажиллагааг идэвхжүүлж, домэйн эзэмшилтийг баталгаажуулах үед
active.idor-walkingболонactive.tenant-isolationтуршилтууд нь IDOR/BOLA маягийн нөөц болон түрээслэгч хоорондын мэдээлэлд өртөх маршрутыг илрүүлсэн.