FixVibe
Covered by FixVibemedium

| API ସୁରକ୍ଷା ଯାଞ୍ଚ ତାଲିକା: ଲାଇଭ୍ ଯିବା ପୂର୍ବରୁ ଯାଞ୍ଚ କରିବାକୁ 12 ଟି ଜିନିଷ |

| ZXCVFIXVIBESEG2 | API ଗୁଡିକ ଆଧୁନିକ ୱେବ୍ ପ୍ରୟୋଗଗୁଡ଼ିକର ମେରୁଦଣ୍ଡ କିନ୍ତୁ ପାରମ୍ପାରିକ ଫ୍ରଣ୍ଟେଣ୍ଡର ସୁରକ୍ଷା କଠୋରତା ଅଭାବ | ଡାଟା ଉଲ୍ଲଂଘନ ଏବଂ ସେବା ଅପବ୍ୟବହାରକୁ ରୋକିବା ପାଇଁ ଆକ୍ସେସ୍ କଣ୍ଟ୍ରୋଲ୍, ରେଟ୍ ସୀମିତତା, ଏବଂ କ୍ରସ୍-ଉତ୍ସ ଉତ୍ସ ବଣ୍ଟନ (CORS) ଉପରେ ଧ୍ୟାନ ଦେଇ ଏହି ଅନୁସନ୍ଧାନ ପ୍ରବନ୍ଧ API ଗୁଡ଼ିକୁ ସୁରକ୍ଷିତ କରିବା ପାଇଁ ଏକ ଜରୁରୀ ଯାଞ୍ଚ ତାଲିକାକୁ ବର୍ଣ୍ଣନା କରେ |

CWE-285CWE-799CWE-942

| ZXCVFIXVIBESEG3 |

ପ୍ରଭାବ

| ZXCVFIXVIBESEG4 | ଆପୋଷ ଆପତ୍ତିଜନକ API ଗୁଡିକ ଆକ୍ରମଣକାରୀଙ୍କୁ ଉପଭୋକ୍ତା ଇଣ୍ଟରଫେସକୁ ବାଇପାସ୍ କରିବାକୁ ଏବଂ ବ୍ୟାକଏଣ୍ଡ ଡାଟାବେସ୍ ଏବଂ ସେବା [S1] ସହିତ ସିଧାସଳଖ ଯୋଗାଯୋଗ କରିବାକୁ ଅନୁମତି ଦେଇଥାଏ | ଏହା ଅନଧିକୃତ ଡାଟା ଏକ୍ସଫିଲଟ୍ରେସନ୍, ବ୍ରୁଟ୍ ଫୋର୍ସ ମାଧ୍ୟମରେ ଆକାଉଣ୍ଟ୍ ନିଆଯିବା, କିମ୍ବା ଉତ୍ସ କ୍ଲାନ୍ତ ହେତୁ [S3][S5] ହୋଇପାରେ |

| ZXCVFIXVIBESEG5 |

ମୂଳ କାରଣ |

| ZXCVFIXVIBESEG6 | ପ୍ରାଥମିକ ମୂଳ କାରଣ ହେଉଛି ଏଣ୍ଡପଏଣ୍ଟ ମାଧ୍ୟମରେ ଆଭ୍ୟନ୍ତରୀଣ ତର୍କର ଏକ୍ସପୋଜର ଯାହାକି ପର୍ଯ୍ୟାପ୍ତ ବ valid ଧତା ଏବଂ ସଂରକ୍ଷଣର ଅଭାବ [S1] | ବିକାଶକାରୀମାନେ ପ୍ରାୟତ ass ଅନୁମାନ କରନ୍ତି ଯେ ଯଦି UI ରେ ଏକ ବ feature ଶିଷ୍ଟ୍ୟ ଦୃଶ୍ୟମାନ ହୁଏ ନାହିଁ, ତେବେ ଏହା ସୁରକ୍ଷିତ, ଭଙ୍ଗା ପ୍ରବେଶ ନିୟନ୍ତ୍ରଣ [S2] ଏବଂ ଅନୁମତିପ୍ରାପ୍ତ CORS ନୀତି ଯାହା [S4] ଉପରେ ନିର୍ଭର କରେ |

| ZXCVFIXVIBESEG7 |

ଜରୁରୀ API ସୁରକ୍ଷା ଯାଞ୍ଚ ତାଲିକା |

| ZXCVFIXVIBESEG8 |

  • କଠୋର ଆକ୍ସେସ୍ କଣ୍ଟ୍ରୋଲ୍ କୁ ବାଧ୍ୟତାମୂଳକ କରନ୍ତୁ: ପ୍ରତ୍ୟେକ ଶେଷ ପଏଣ୍ଟ ନିଶ୍ଚିତ କରିବାକୁ ପଡିବ ଯେ ନିର୍ଦ୍ଦିଷ୍ଟ ଉତ୍ସ [S2] ଆକ୍ସେସ୍ ହେବା ପାଇଁ ଅନୁରୋଧକାରୀଙ୍କର ଉପଯୁକ୍ତ ଅନୁମତି ଅଛି |

| ZXCVFIXVIBESEG9 |

  • ରେଟ୍ ସୀମା କାର୍ଯ୍ୟକାରୀ କରନ୍ତୁ : ଏକ ନିର୍ଦ୍ଦିଷ୍ଟ ସମୟ ସୀମା ମଧ୍ୟରେ ଏକ ଗ୍ରାହକ ଦେଇଥିବା ଅନୁରୋଧ ସଂଖ୍ୟାକୁ ସୀମିତ କରି ସ୍ୱୟଂଚାଳିତ ଅପବ୍ୟବହାର ଏବଂ DoS ଆକ୍ରମଣରୁ ରକ୍ଷା କରନ୍ତୁ [S3] |

| ZXCVFIXVIBESEG10

  • CORS ସଠିକ୍ ଭାବରେ ବିନ୍ୟାସ କରନ୍ତୁ : ପ୍ରାମାଣିକ ଶେଷ ପଏଣ୍ଟ ପାଇଁ ୱାଇଲ୍ଡକାର୍ଡ ଉତ୍ପତ୍ତି (*) ବ୍ୟବହାର କରନ୍ତୁ ନାହିଁ | କ୍ରସ୍-ସାଇଟ୍ ଡାଟା ଲିକେଜ୍ [S4] କୁ ରୋକିବା ପାଇଁ ଅନୁମତି ପ୍ରାପ୍ତ ଉତ୍ପତ୍ତିକୁ ସ୍ପଷ୍ଟ ଭାବରେ ବ୍ୟାଖ୍ୟା କରନ୍ତୁ |

| ZXCVFIXVIBESEG11

  • ଅଡ଼ିଟ୍ ଏଣ୍ଡପଏଣ୍ଟ ଭିଜିବିଲିଟି : ନିୟମିତ ଭାବରେ "ଲୁକ୍କାୟିତ" କିମ୍ବା ଡକ୍ୟୁମେଣ୍ଟ୍ ହୋଇନଥିବା ଏଣ୍ଡପଏଣ୍ଟଗୁଡିକ ପାଇଁ ସ୍କାନ୍ କରନ୍ତୁ ଯାହା ସମ୍ବେଦନଶୀଳ କାର୍ଯ୍ୟକାରିତା [S1] ପ୍ରକାଶ କରିପାରେ |

| ZXCVFIXVIBESEG12

ଏହା ପାଇଁ FixVibe କିପରି ପରୀକ୍ଷା କରେ |

| ZXCVFIXVIBESEG13 | FixVibe ବର୍ତ୍ତମାନ ଏକାଧିକ ଲାଇଭ୍ ଚେକ୍ ମାଧ୍ୟମରେ ଏହି ଚେକଲିଷ୍ଟକୁ ଆବୃତ କରେ | ଆକ୍ଟିଭ୍-ଗେଟେଡ୍ ପ୍ରୋବସ୍ କେବଳ ଯାଞ୍ଚ ପରେ auth ଏଣ୍ଡପଏଣ୍ଟ ହାର ସୀମିତତା, CORS, CSRF, SQL ଇଞ୍ଜେକ୍ସନ୍, ଅଥ-ଫ୍ଲୋ ଦୁର୍ବଳତା ଏବଂ ଅନ୍ୟାନ୍ୟ API ସମ୍ମୁଖୀନ ସମସ୍ୟାଗୁଡିକ ପରୀକ୍ଷା କରେ | ପାସିଭ୍ ଚେକ୍ ସୁରକ୍ଷା ହେଡର୍, ସର୍ବସାଧାରଣ API ଡକ୍ୟୁମେଣ୍ଟେସନ୍ ଏବଂ OpenAPI ଏକ୍ସପୋଜର୍ ଏବଂ କ୍ଲାଏଣ୍ଟ ବଣ୍ଡଲରେ ରହସ୍ୟ ଯାଞ୍ଚ କରେ | ରେପୋ ସ୍କାନଗୁଡିକ ଅସୁରକ୍ଷିତ CORS, କଞ୍ଚା SQL ଇଣ୍ଟରପୋଲେସନ୍, ଦୁର୍ବଳ JWT ରହସ୍ୟ, ଡିକୋଡ୍-କେବଳ JWT ବ୍ୟବହାର, ୱେବ୍ ହକ୍ ସ୍ ature ାକ୍ଷର ଫାଙ୍କ, ଏବଂ ନିର୍ଭରଶୀଳତା ସମସ୍ୟା ପାଇଁ କୋଡ୍ ସ୍ତରର ବିପଦ ସମୀକ୍ଷା ଯୋଗ କରିଥାଏ |