FixVibe
Covered by FixVibehigh

| API କି ଲିକେଜ୍: ଆଧୁନିକ ୱେବ୍ ଆପ୍ସରେ ବିପଦ ଏବଂ ପ୍ରତିକାର |

| ZXCVFIXVIBESEG2 | ଫ୍ରଣ୍ଟେଣ୍ଡ କୋଡ୍ କିମ୍ବା ରେପୋଜିଟୋରୀ ଇତିହାସରେ ହାର୍ଡ-କୋଡେଡ୍ ରହସ୍ୟ ଆକ୍ରମଣକାରୀଙ୍କୁ ସେବା ଛଦ୍ମନାମ କରିବାକୁ, ବ୍ୟକ୍ତିଗତ ତଥ୍ୟ ପ୍ରବେଶ କରିବାକୁ ଏବଂ ଖର୍ଚ୍ଚ ବହନ କରିବାକୁ ଅନୁମତି ଦେଇଥାଏ | ଏହି ଆର୍ଟିକିଲ୍ ଗୁପ୍ତ ଲିକେଜ୍ର ବିପଦ ଏବଂ ପରିଷ୍କାର ଏବଂ ପ୍ରତିରୋଧ ପାଇଁ ଆବଶ୍ୟକ ପଦକ୍ଷେପଗୁଡ଼ିକୁ ଅନ୍ତର୍ଭୁକ୍ତ କରେ |

CWE-798

| ZXCVFIXVIBESEG3 |

ପ୍ରଭାବ

| ZXCVFIXVIBESEG4 | API ଚାବି, ଟୋକେନ୍, କିମ୍ବା ପରିଚୟପତ୍ର ପରି ଗୁପ୍ତ ରହସ୍ୟ, [S1] ସମ୍ୱେଦନଶୀଳ ତଥ୍ୟ, ସେବା ଛଦ୍ମନାମ, ଏବଂ ଆର୍ଥିକ କ୍ଷତି ହେତୁ ଅନଧିକୃତ ପ୍ରବେଶକୁ ନେଇପାରେ | ଥରେ ଏକ ଗୁପ୍ତ ସାର୍ବଜନୀନ ସଂଗ୍ରହାଳୟ ପାଇଁ ପ୍ରତିଶ୍ରୁତିବଦ୍ଧ କିମ୍ବା ଏକ ଫ୍ରଣ୍ଟେଣ୍ଡ୍ ପ୍ରୟୋଗରେ ବାନ୍ଧ ହୋଇଗଲେ, ଏହାକୁ ଆପୋଷ ବୁ Z ାମଣା [S1] ଭାବରେ ବିବେଚନା କରାଯିବା ଉଚିତ |

| ZXCVFIXVIBESEG5 |

ମୂଳ କାରଣ |

| ZXCVFIXVIBESEG6 | ଏହାର ମୂଳ କାରଣ ହେଉଛି ସିଧାସଳଖ ଉତ୍ସ କୋଡ୍ କିମ୍ବା ବିନ୍ୟାସ ଫାଇଲରେ ସମ୍ବେଦନଶୀଳ ପରିଚୟପତ୍ରର ଅନ୍ତର୍ଭୂକ୍ତ ଯାହାକି ପରବର୍ତ୍ତୀ ସମୟରେ ସଂସ୍କରଣ ନିୟନ୍ତ୍ରଣ ପାଇଁ ପ୍ରତିଶ୍ରୁତିବଦ୍ଧ କିମ୍ବା ଗ୍ରାହକ [S1] କୁ ସେବା କରାଯାଇଥାଏ | ବିକାଶ ସମୟରେ ସୁବିଧା ପାଇଁ ବିକାଶକାରୀମାନେ ପ୍ରାୟତ hard ହାର୍ଡ-କୋଡ୍ କି କିମ୍ବା ହଠାତ୍ .env ଫାଇଲଗୁଡ଼ିକୁ [S1] ରେ ଅନ୍ତର୍ଭୁକ୍ତ କରନ୍ତି |

| ZXCVFIXVIBESEG7 |

କଂକ୍ରିଟ୍ ଫିକ୍ସସ୍ |

| ZXCVFIXVIBESEG8 | 1। ଆପୋଷ ଆପତ୍ତିଜନକ ରହସ୍ୟ ଘୂର୍ଣ୍ଣନ କରନ୍ତୁ: ଯଦି ଏକ ରହସ୍ୟ ଲିକ୍ ହୁଏ, ତେବେ ଏହାକୁ ତୁରନ୍ତ ପ୍ରତ୍ୟାହାର କରି ତୁରନ୍ତ ବଦଳାଇବା ଆବଶ୍ୟକ | ସଂକେତର ସାମ୍ପ୍ରତିକ ସଂସ୍କରଣରୁ କେବଳ ରହସ୍ୟ ଅପସାରଣ କରିବା ପର୍ଯ୍ୟାପ୍ତ ନୁହେଁ କାରଣ ଏହା ସଂସ୍କରଣ ନିୟନ୍ତ୍ରଣ ଇତିହାସରେ ରହିଥାଏ [S1][S2] | | ZXCVFIXVIBESEG9 | 2। ପରିବେଶ ଭେରିଏବଲ୍ ବ୍ୟବହାର କରନ୍ତୁ: ହାର୍ଡ-କୋଡିଂ କରିବା ପରିବର୍ତ୍ତେ ପରିବେଶ ଭେରିଏବଲ୍ ରେ ରହସ୍ୟ ସଂରକ୍ଷଣ କରନ୍ତୁ | ନିଶ୍ଚିତ କରନ୍ତୁ ଯେ .env ଫାଇଲଗୁଡିକ .gitignore ରେ ଯୋଡା ଯାଇଛି [S1] | | ZXCVFIXVIBESEG10 3। ଗୁପ୍ତ ପରିଚାଳନା କାର୍ଯ୍ୟାନ୍ୱୟନ କରନ୍ତୁ: ଚାଲିବା ସମୟରେ [S1] ରେ ପ୍ରୟୋଗ ପରିବେଶରେ ପରିଚୟପତ୍ର ଇଞ୍ଜେକ୍ସନ ଦେବା ପାଇଁ ଉତ୍ସର୍ଗୀକୃତ ଗୁପ୍ତ ପରିଚାଳନା ଉପକରଣ କିମ୍ବା ଭାଲ୍ଟ ସେବା ବ୍ୟବହାର କରନ୍ତୁ | | ZXCVFIXVIBESEG11 4। ରେପୋଜିଟୋରୀ ଇତିହାସ ଶୁଦ୍ଧ କରନ୍ତୁ: ଯଦି Git ପାଇଁ ଏକ ଗୁପ୍ତ ପ୍ରତିଶ୍ରୁତି ଦିଆଯାଇଥିଲା, git-filter-repo କିମ୍ବା BFG ରେପୋ-କ୍ଲିନର୍ ପରି ସଂଗ୍ରହାଳୟ ଇତିହାସର ସମସ୍ତ ଶାଖା ଏବଂ ଟ୍ୟାଗରୁ ସମ୍ବେଦନଶୀଳ ତଥ୍ୟକୁ ସ୍ଥାୟୀ ଭାବରେ ଅପସାରଣ କରିବାକୁ [S2] ବ୍ୟବହାର କରନ୍ତୁ |

| ZXCVFIXVIBESEG12

ଏହା ପାଇଁ FixVibe କିପରି ପରୀକ୍ଷା କରେ |

| ZXCVFIXVIBESEG13 | FixVibe ବର୍ତ୍ତମାନ ଏହାକୁ ଲାଇଭ ସ୍କାନରେ ଅନ୍ତର୍ଭୁକ୍ତ କରେ | ପାସିଭ୍ secrets.js-bundle-sweep ସମାନ ମୂଳ ଜାଭାସ୍କ୍ରିପ୍ଟ ବଣ୍ଡଲଗୁଡ଼ିକୁ ଡାଉନଲୋଡ୍ କରେ ଏବଂ ଜଣାଶୁଣା API କି, ଟୋକେନ୍, ଏବଂ ଏଣ୍ଟ୍ରପି ଏବଂ ପ୍ଲେସହୋଲ୍ଡର ଫାଟକ ସହିତ ପରିଚୟ s ାଞ୍ଚାଗୁଡ଼ିକୁ ମେଳ କରେ | ସମ୍ବନ୍ଧିତ ଲାଇଭ୍ ଚେକ୍ ବ୍ରାଉଜର୍ ଷ୍ଟୋରେଜ୍, ଉତ୍ସ ମାନଚିତ୍ର, auth ଏବଂ BaaS କ୍ଲାଏଣ୍ଟ ବଣ୍ଡଲ ଏବଂ GitHub ରେପୋ ଉତ୍ସ s ାଞ୍ଚାଗୁଡ଼ିକୁ ଯାଞ୍ଚ କରେ | ଗିଟ୍ ଇତିହାସ ପୁନ r ଲିଖନ ଏକ ପ୍ରତିକାର ପଦକ୍ଷେପ ଅଟେ; FixVibe ର ଲାଇଭ୍ କଭରେଜ୍ ପଠାଯାଇଥିବା ସମ୍ପତ୍ତି, ବ୍ରାଉଜର୍ ଷ୍ଟୋରେଜ୍ ଏବଂ ସାମ୍ପ୍ରତିକ ରେପୋ ବିଷୟବସ୍ତୁରେ ଥିବା ରହସ୍ୟ ଉପରେ ଧ୍ୟାନ ଦେଇଥାଏ |