FixVibe
Covered by FixVibemedium

Vercel байршуулалтыг хамгаалах: Хамгаалалт ба толгойн шилдэг туршлагууд

Энэхүү судалгаа нь Vercel-д байршуулсан програмуудын аюулгүй байдлын тохиргоог судалж, Байршуулах хамгаалалт болон өөрчлөн тохируулсан HTTP толгой хэсэгт анхаарлаа хандуулсан. Энэ нь эдгээр функцууд нь урьдчилан харах орчныг хэрхэн хамгаалж, зөвшөөрөлгүй хандалт болон нийтлэг вэб халдлагаас урьдчилан сэргийлэхийн тулд хөтчийн аюулгүй байдлын бодлогыг хэрэгжүүлэх талаар тайлбарладаг.

CWE-16CWE-693

Дэгээ

Vercel байршуулалтыг хамгаалахын тулд Байршуулах хамгаалалт болон тусгай HTTP толгой [S2][S3] зэрэг хамгаалалтын функцуудыг идэвхтэй тохируулах шаардлагатай. Өгөгдмөл тохиргоонд найдах нь орчин болон хэрэглэгчдэд зөвшөөрөлгүй хандалт эсвэл үйлчлүүлэгчийн эмзэг байдалд өртөж болзошгүй [S2][S3].

Юу өөрчлөгдсөн

Vercel [S2][S3] байршуулсан програмуудын аюулгүй байдлыг сайжруулахын тулд Байршуулах хамгаалалт болон тусгай толгойн менежментийн тусгай механизмаар хангадаг. Эдгээр функцууд нь хөгжүүлэгчдэд хүрээлэн буй орчны хандалтыг хязгаарлаж, хөтчийн түвшний [S2][S3] аюулгүй байдлын бодлогыг хэрэгжүүлэх боломжийг олгодог.

Хэн өртөж байна

Vercel-г ашигладаг байгууллагууд өөрсдийн орчинд зориулж Байршуулах хамгаалалтыг тохируулаагүй эсвэл [S2][S3] аппликешндээ тусгай хамгаалалтын гарчгийг тодорхойлоогүй тохиолдолд нөлөөлнө. Энэ нь эмзэг өгөгдөл эсвэл [S2] хувийн урьдчилан үзэх байршуулалтыг удирдаж буй багуудад онцгой чухал юм.

Асуудал хэрхэн ажилладаг

[S2] хандалтыг хязгаарлахын тулд Байршуулах хамгаалалтыг тодорхой идэвхжүүлээгүй л бол Vercel байршуулалтад үүсгэсэн URL-уудаар хандах боломжтой. Нэмж дурдахад, толгойн тохиргоог өөрчлөөгүй тохиолдолд аппликешнүүдэд өгөгдмөл [S3] ашигладаггүй Агуулгын аюулгүй байдлын бодлого (CSP) зэрэг аюулгүй байдлын үндсэн гарчиг байхгүй байж болзошгүй.

Халдагч юу авдаг вэ

Байршуулах хамгаалалт идэвхгүй [S2] бол халдагчид урьдчилан харах хязгаарлагдмал орчинд хандах боломжтой. Хөтөч нь [S3] хортой үйл ажиллагааг хаахад шаардлагатай зааварчилгаагүй тул аюулгүй байдлын гарчиг байхгүй байгаа нь үйлчлүүлэгчийн амжилттай халдлага хийх эрсдэлийг нэмэгдүүлдэг.

FixVibe үүнийг хэрхэн туршиж үздэг

FixVibe одоо энэ судалгааны сэдвийг хоёр илгээсэн идэвхгүй чектэй харьцуулж байна. headers.vercel-deployment-security-backfill дарцагуудыг Vercel-ээр үүсгэсэн *.vercel.app байршуулах URL-уудыг зөвхөн баталгаажуулаагүй ердийн хүсэлт нь ZXCVETOKENXi VII, Authentication-ийн оронд ижил үүсгэсэн хостоос 2xx/3xx хариу буцаах үед, SXCVETOKENS8, Authentication: нууц үг, эсвэл Байршуулах хамгаалалтын сорилт [S2]. headers.security-headers нь CSP, HSTS, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, configured protected хамгаалалтын олон нийтийн үйлдвэрлэлийн хариуг тусад нь шалгадаг. Vercel эсвэл [S3] програм. FixVibe нь байршуулах URL-уудыг харгис хүчээр шахдаггүй эсвэл хамгаалагдсан урьдчилан үзэхийг тойрч гарахыг оролддоггүй.

Юу засах вэ

[S2] урьдчилан харах болон үйлдвэрлэлийн орчныг хамгаалахын тулд Vercel хяналтын самбарт байршуулалтын хамгаалалтыг идэвхжүүлнэ үү. Цаашилбал, хэрэглэгчдийг [S3] нийтлэг вэбэд суурилсан халдлагаас хамгаалахын тулд төслийн тохиргооны хүрээнд тусгай хамгаалалтын толгойнуудыг тодорхойлж байрлуул.