FixVibe
Covered by FixVibehigh

API Kebocoran Utama: Risiko dan Pemulihan dalam Apl Web Moden

Rahsia berkod keras dalam kod hadapan atau sejarah repositori membenarkan penyerang menyamar sebagai perkhidmatan, mengakses data peribadi dan menanggung kos. Artikel ini merangkumi risiko kebocoran rahsia dan langkah-langkah yang perlu untuk pembersihan dan pencegahan.

CWE-798

Kesan

Membocorkan rahsia seperti kunci API, token atau bukti kelayakan boleh membawa kepada akses tanpa kebenaran kepada data sensitif, penyamaran perkhidmatan dan kerugian kewangan yang ketara akibat penyalahgunaan sumber [S1]. Sebaik sahaja rahsia dikomitkan kepada repositori awam atau digabungkan ke dalam aplikasi bahagian hadapan, ia harus dianggap sebagai dikompromi [S1].

Punca Punca

Punca utama ialah kemasukan bukti kelayakan sensitif secara langsung dalam kod sumber atau fail konfigurasi yang kemudiannya komited kepada kawalan versi atau disampaikan kepada pelanggan [S1]. Pembangun selalunya kunci kod keras untuk kemudahan semasa pembangunan atau secara tidak sengaja memasukkan fail .env dalam komit mereka [S1].

Pembetulan Konkrit

  • Putar Rahsia Terkompromi: Jika sesuatu rahsia bocor, ia mesti dibatalkan dan diganti serta-merta. Mengalih keluar rahsia daripada versi semasa kod adalah tidak mencukupi kerana ia kekal dalam sejarah kawalan versi [S1][S2].
  • Gunakan Pembolehubah Persekitaran: Simpan rahsia dalam pembolehubah persekitaran dan bukannya pengekodan keras. Pastikan fail .env ditambahkan pada .gitignore untuk mengelakkan [S1] secara tidak sengaja.
  • Melaksanakan Pengurusan Rahsia: Gunakan alatan pengurusan rahsia khusus atau perkhidmatan peti besi untuk menyuntik bukti kelayakan ke dalam persekitaran aplikasi pada masa jalan [S1].
  • Purge Repository History: Jika rahsia telah dilakukan kepada Git, gunakan alatan seperti git-filter-repo atau BFG Repo-Cleaner untuk mengalih keluar data sensitif secara kekal daripada semua cawangan dan teg dalam sejarah repositori [S2].

Bagaimana FixVibe mengujinya

FixVibe kini menyertakan ini dalam imbasan langsung. secrets.js-bundle-sweep pasif memuat turun himpunan JavaScript asal yang sama dan memadankan kunci API yang diketahui, token dan corak bukti kelayakan dengan gerbang entropi dan pemegang tempat. Semakan langsung berkaitan memeriksa storan penyemak imbas, peta sumber, pengesahan dan pakej klien BaaS dan corak sumber repo GitHub. Penulisan semula sejarah Git kekal sebagai langkah pemulihan; Liputan langsung FixVibe memfokuskan pada rahsia yang terdapat dalam aset yang dihantar, storan penyemak imbas dan kandungan repo semasa.