FixVibe
Covered by FixVibehigh

အားနည်းချက် သုတေသန- SSRF နှင့် လုံခြုံရေး ခေါင်းစီး လိုက်နာမှု

ZXCVFIXVIBESEG၂ ဤသုတေသနဆောင်းပါးသည် Server-Side Request Forgery (SSRF) နှင့် HTTP လုံခြုံရေး ခေါင်းစီးလိုက်နာမှု၏ အရေးကြီးပုံကို ဆန်းစစ်ထားသည်။ PortSwigger နှင့် Mozilla တို့မှ ထိုးထွင်းသိမြင်နားလည်မှုများကို အသုံးပြု၍ အလိုအလျောက်စကင်ဖတ်စစ်ဆေးခြင်းသည် အဆိုပါအားနည်းချက်များကို မည်သို့ခွဲခြားသတ်မှတ်ကြောင်းနှင့် FixVibe သည် အလားတူထောက်လှမ်းနိုင်သည့်စွမ်းရည်များကို မည်သို့အကောင်အထည်ဖော်နိုင်သည်ကို ကျွန်ုပ်တို့စူးစမ်းလေ့လာပါသည်။

CWE-918

ထိခိုက်မှု

Server-Side Request Forgery (SSRF) သည် တိုက်ခိုက်သူတစ်ဦးအား မရည်ရွယ်သောတည်နေရာ [S1] သို့ တောင်းဆိုမှုများပြုလုပ်ရန် server-side အပလီကေးရှင်းအား လှုံ့ဆော်ပေးနိုင်သည့် အရေးကြီးသော အားနည်းချက်တစ်ခုဖြစ်သည်။ ၎င်းသည် ထိလွယ်ရှလွယ် အတွင်းပိုင်းဝန်ဆောင်မှုများ၏ ထိတွေ့မှု၊ cloud metadata အဆုံးမှတ်များသို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့် သို့မဟုတ် ကွန်ရက်ဖိုင်းဝေါလ်များ [S1] ကို ဖြတ်ကျော်ခြင်းသို့ ဦးတည်သွားစေနိုင်သည်။

အကြောင်းအရင်း

SSRF သည် ပုံမှန်အားဖြင့် အပလီကေးရှင်းတစ်ခုမှ လုံလောက်သော မှန်ကန်မှုမရှိဘဲ သုံးစွဲသူမှပေးသော URL များကို လုပ်ဆောင်သည့်အခါတွင် ဆာဗာအား အန္တရာယ်ရှိသော တောင်းဆိုမှုများအတွက် ပရောက်စီတစ်ခုအဖြစ် အသုံးပြုခွင့်ပေးခြင်း [S1] သည် ပုံမှန်အားဖြင့် ဖြစ်ပေါ်သည်။ တက်ကြွသောချို့ယွင်းချက်များအပြင်၊ ဝဘ်ဆိုက်တစ်ခု၏ အလုံးစုံလုံခြုံရေးအနေအထားသည် ၎င်း၏ HTTP ခေါင်းစီးဖွဲ့စည်းပုံများ [S2] မှ ကြီးကြီးမားမားလွှမ်းမိုးထားသည်။ 2016 ခုနှစ်တွင် စတင်ခဲ့ပြီး Mozilla ၏ HTTP Observatory သည် စီမံခန့်ခွဲသူများသည် ဖြစ်နိုင်ချေရှိသော လုံခြုံရေးအားနည်းချက်များကို ရှာဖွေဖော်ထုတ်ပြီး ကိုင်တွယ်ဖြေရှင်းခြင်းဖြင့် စီမံခန့်ခွဲသူများ၏ ဤဘုံခြိမ်းခြောက်မှုများကို ၎င်းတို့၏ခုခံကာကွယ်မှုအားကောင်းစေရန် ဝက်ဘ်ဆိုဒ် 6.9 သန်းကျော်ကို ခွဲခြမ်းစိတ်ဖြာထားသည်။

FixVibe စမ်းသပ်နည်း

FixVibe သည် ဤသုတေသနခေါင်းစဉ်၏ အစိတ်အပိုင်းနှစ်ခုလုံးကို ခြုံငုံပြီးဖြစ်သည်-

  • Gated SSRF အတည်ပြုချက်: active.blind-ssrf သည် အတည်ပြုထားသော တက်ကြွစကင်န်များအတွင်းသာ လုပ်ဆောင်ပါသည်။ ၎င်းသည် တွားသွားစဉ်အတွင်း တွေ့ရှိခဲ့သော SSRF နှင့်သက်ဆိုင်သည့် ခေါင်းစီးများကို URL-ပုံသဏ္ဌာန်သို့ ပြန်ခေါ်နိုင်သော canaries များကို ဖြန့်ကျက်ပြီး FixVibe သည် ထိုစကင်န်နှင့်ဆက်စပ်နေသည့် ဖုန်းခေါ်ဆိုမှုကို လက်ခံရရှိမှသာ ပြဿနာကို သတင်းပို့ပါသည်။

ZXCVFIXVIBESEG၁၀

  • ခေါင်းစီးလိုက်နာမှု: headers.security-headers၊ CSP၊ HSTS၊ X-Frame-Options-Options၊ X-Frame-Options-Options၊ X-Frame-Options-Text၊ X-Frame-Options၊ X-Frame-Options-Text၊ ရည်ညွှန်းသူ-မူဝါဒနှင့် ခွင့်ပြုချက်များ-မူဝါဒ။

ZXCVFIXVIBESEG ၁၁ SSRF စုံစမ်းစစ်ဆေးမှုသည် ပျက်စီးစေသော တောင်းဆိုမှုများ သို့မဟုတ် စစ်မှန်ကြောင်း အတည်ပြုဝင်ရောက်ခွင့် မလိုအပ်ပါ။ ၎င်းသည် ကန့်သတ်ချက်အမည်များကို မှန်းဆခြင်းထက် တိကျသေချာသော ပြန်လည်ခေါ်ဆိုမှုဆိုင်ရာ အထောက်အထားများကို အစီရင်ခံရန် သတ်မှတ်ထားသည်။