FixVibe
Covered by FixVibehigh

| Firebase ସୁରକ୍ଷା ନିୟମ: ଅନଧିକୃତ ତଥ୍ୟ ଏକ୍ସପୋଜରକୁ ରୋକିବା |

| ZXCVFIXVIBESEG2 | Firebase ସୁରକ୍ଷା ନିୟମଗୁଡ଼ିକ ହେଉଛି ଫାୟାରଷ୍ଟୋର ଏବଂ କ୍ଲାଉଡ୍ ଷ୍ଟୋରେଜ୍ ବ୍ୟବହାର କରି ସର୍ଭରହୀନ ପ୍ରୟୋଗଗୁଡ଼ିକ ପାଇଁ ପ୍ରାଥମିକ ପ୍ରତିରକ୍ଷା | ଯେତେବେଳେ ଏହି ନିୟମଗୁଡିକ ଅତ୍ୟଧିକ ଅନୁମତିପ୍ରାପ୍ତ, ଯେପରିକି ଉତ୍ପାଦନରେ ବିଶ୍ global ସ୍ତରୀୟ ପ read ଼ିବା କିମ୍ବା ଲେଖିବା ପାଇଁ ଅନୁମତି ଦେବା, ଆକ୍ରମଣକାରୀମାନେ ସମ୍ବେଦନଶୀଳ ତଥ୍ୟ ଚୋରୀ କିମ୍ବା ବିଲୋପ କରିବା ପାଇଁ ଉଦ୍ଦିଷ୍ଟ ପ୍ରୟୋଗ ତର୍କକୁ ବାଇପାସ୍ କରିପାରିବେ | ଏହି ଅନୁସନ୍ଧାନ ସାଧାରଣ ଭୁଲ୍ ବିନ୍ୟାସ, 'ପରୀକ୍ଷା ମୋଡ୍' ଡିଫଲ୍ଟର ବିପଦ ଏବଂ ପରିଚୟ-ଆଧାରିତ ପ୍ରବେଶ ନିୟନ୍ତ୍ରଣକୁ କିପରି କାର୍ଯ୍ୟକାରୀ କରାଯିବ ତାହା ଅନୁସନ୍ଧାନ କରେ |

CWE-284CWE-863

| ZXCVFIXVIBESEG3 | Firebase ସୁରକ୍ଷା ନିୟମ ଫାୟାରଷ୍ଟୋର, ରିଅଲ imeা D ମ ଡାଟାବେସ୍ ଏବଂ କ୍ଲାଉଡ୍ ଷ୍ଟୋରେଜ୍ [S1] ରେ ତଥ୍ୟକୁ ସୁରକ୍ଷିତ ରଖିବା ପାଇଁ ଏକ ଗ୍ରାନୁଲାର୍, ସର୍ଭର-ବାଧ୍ୟତାମୂଳକ ପ୍ରଣାଳୀ ପ୍ରଦାନ କରିଥାଏ | କାରଣ Firebase ପ୍ରୟୋଗଗୁଡ଼ିକ ପ୍ରାୟତ client କ୍ଲାଏଣ୍ଟ ପାର୍ଶ୍ୱରୁ ଏହି କ୍ଲାଉଡ୍ ସେବାଗୁଡ଼ିକ ସହିତ ଯୋଗାଯୋଗ କରନ୍ତି, ଏହି ନିୟମଗୁଡ଼ିକ ବ୍ୟାକଏଣ୍ଡ ଡାଟା [S1] କୁ ଅନଧିକୃତ ପ୍ରବେଶକୁ ପ୍ରତିରୋଧ କରୁଥିବା ଏକମାତ୍ର ପ୍ରତିବନ୍ଧକକୁ ଦର୍ଶାଏ |

| ZXCVFIXVIBESEG4 |

ଅନୁମତି ନିୟମର ପ୍ରଭାବ |

| ZXCVFIXVIBESEG5 | ଭୁଲ ବିନ୍ୟାସିତ ନିୟମଗୁଡ଼ିକ ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ ତଥ୍ୟ ଏକ୍ସପୋଜର [S2] କୁ ନେଇପାରେ | ଯଦି ନିୟମଗୁଡିକ ଅତ୍ୟଧିକ ଅନୁମତିପ୍ରାପ୍ତ ସେଟ୍ ହୋଇଛି - ଉଦାହରଣ ସ୍ୱରୂପ, ଡିଫଲ୍ଟ 'ଟେଷ୍ଟ୍ ମୋଡ୍' ସେଟିଂସମୂହ ବ୍ୟବହାର କରି ଯାହା ବିଶ୍ global ସ୍ତରୀୟ ପ୍ରବେଶକୁ ଅନୁମତି ଦିଏ - ପ୍ରୋଜେକ୍ଟ ID ବିଷୟରେ ଜ୍ଞାନ ଥିବା ଯେକ user ଣସି ଉପଭୋକ୍ତା [S2] କୁ ସମ୍ପୂର୍ଣ୍ଣ ଡାଟାବେସ୍ ବିଷୟବସ୍ତୁ ପ read ି, ପରିବର୍ତ୍ତନ କିମ୍ବା ବିଲୋପ କରିପାରିବେ | ଏହା ସମସ୍ତ କ୍ଲାଏଣ୍ଟ-ସାଇଡ୍ ସୁରକ୍ଷା ପଦକ୍ଷେପକୁ ଅତିକ୍ରମ କରେ ଏବଂ ସମ୍ବେଦନଶୀଳ ଉପଭୋକ୍ତା ସୂଚନା ହରାଇପାରେ କିମ୍ବା [S2] |

| ZXCVFIXVIBESEG6 |

ମୂଳ କାରଣ: ପର୍ଯ୍ୟାପ୍ତ ପ୍ରାଧିକରଣ ତର୍କ |

| ZXCVFIXVIBESEG7 | ଏହି ଦୁର୍ବଳତାର ମୂଳ କାରଣ ସାଧାରଣତ specific ନିର୍ଦ୍ଦିଷ୍ଟ ସର୍ତ୍ତଗୁଡିକ କାର୍ଯ୍ୟକାରୀ କରିବାରେ ବିଫଳତା ଯାହାକି ଉପଭୋକ୍ତା ପରିଚୟ କିମ୍ବା ଉତ୍ସ ଗୁଣ [S3] ଉପରେ ଆଧାର କରି ପ୍ରବେଶକୁ ପ୍ରତିବନ୍ଧିତ କରିଥାଏ | ବିକାଶକାରୀମାନେ ବାରମ୍ବାର ଉତ୍ପାଦନ ପରିବେଶରେ ଡିଫଲ୍ଟ ସଂରଚନାକୁ ସକ୍ରିୟ ଛାଡିଥାନ୍ତି ଯାହାକି request.auth ବସ୍ତୁ [S3] କୁ ବ valid ଧ କରେ ନାହିଁ | request.auth ମୂଲ୍ୟାଙ୍କନ ନକରି, ସିଷ୍ଟମ୍ ଏକ ବ legitimate ଧ ପ୍ରାମାଣିକ ଚାଳକ ଏବଂ ଜଣେ ଅଜ୍ଞାତ ଅନୁରୋଧକାରୀ [S3] ମଧ୍ୟରେ ପାର୍ଥକ୍ୟ କରିପାରିବ ନାହିଁ |

| ZXCVFIXVIBESEG8 |

ଯାନ୍ତ୍ରିକ ପ୍ରତିକାର |

| ZXCVFIXVIBESEG9 | ଏକ Firebase ପରିବେଶକୁ ସୁରକ୍ଷିତ କରିବା ପାଇଁ ଖୋଲା ପ୍ରବେଶରୁ ଏକ ପ୍ରିନ୍ସିପାଲ୍-ସର୍ବନିମ୍ନ-ସୁବିଧା ମଡେଲକୁ ଯିବା ଆବଶ୍ୟକ କରେ |

| ZXCVFIXVIBESEG10

  • ** ପ୍ରାମାଣିକିକରଣକୁ ବାଧ୍ୟତାମୂଳକ କରନ୍ତୁ: ନିଶ୍ଚିତ କରନ୍ତୁ ଯେ request.auth ବସ୍ତୁଟି [S3] ନୁହେଁ କି ନାହିଁ ଯାଞ୍ଚ କରି ଏକ ବ valid ଧ ଉପଭୋକ୍ତା ଅଧିବେଶନ ଆବଶ୍ୟକ କରେ |

| ZXCVFIXVIBESEG11 ** | ZXCVFIXVIBESEG12

  • ଗ୍ରାନୁଲାର୍ ଅନୁମତି ସ୍କୋପିଂ : ସଂଗ୍ରହ ପାଇଁ ଗ୍ଲୋବାଲ୍ ୱାଇଲ୍ଡକାର୍ଡରୁ ଦୂରେଇ ରୁହ | ଏହା ପରିବର୍ତ୍ତେ, ସମ୍ଭାବ୍ୟ ଆକ୍ରମଣ ପୃଷ୍ଠ [S2] କୁ କମ୍ କରିବାକୁ ପ୍ରତ୍ୟେକ ସଂଗ୍ରହ ଏବଂ ଉପ-ସଂଗ୍ରହ ପାଇଁ ନିର୍ଦ୍ଦିଷ୍ଟ ନିୟମ ବ୍ୟାଖ୍ୟା କରନ୍ତୁ |

| ZXCVFIXVIBESEG13 |

  • ଏମୁଲେଟର ସୁଟ୍ ମାଧ୍ୟମରେ ବ id ଧତା : ସ୍ଥାନୀୟ ଭାବରେ ସୁରକ୍ଷା ନିୟମ ପରୀକ୍ଷା କରିବାକୁ Firebase ଏମୁଲେଟର ସୁଟ୍ ବ୍ୟବହାର କରନ୍ତୁ | ଏକ ଜୀବନ୍ତ ପରିବେଶ [S2] ନିୟୋଜନ କରିବା ପୂର୍ବରୁ ଏହା ବିଭିନ୍ନ ଉପଭୋକ୍ତା ବ୍ୟକ୍ତିଙ୍କ ବିରୁଦ୍ଧରେ ପ୍ରବେଶ ନିୟନ୍ତ୍ରଣ ତର୍କର ଯାଞ୍ଚ ପାଇଁ ଅନୁମତି ଦେଇଥାଏ |

| ZXCVFIXVIBESEG14

ଏହା ପାଇଁ FixVibe କିପରି ପରୀକ୍ଷା କରେ |

| FixVibe ବର୍ତ୍ତମାନ ଏହାକୁ କେବଳ ପଠନୀୟ BaaS ସ୍କାନ୍ ଭାବରେ ଅନ୍ତର୍ଭୁକ୍ତ କରେ | baas.firebase-rules ସମାନ ମୂଳ ଜାଭାସ୍କ୍ରିପ୍ଟ ବଣ୍ଡଲରୁ Firebase ସଂରଚନାକୁ ବାହାର କରିଥାଏ, ଆଧୁନିକ initializeApp(...) ବଣ୍ଡଲ୍ ଆକୃତି ଅନ୍ତର୍ଭୂକ୍ତ କରେ, ତାପରେ ରିଅଲ imeা D ମ ଡାଟାବେସ୍, ଫାୟାରଷ୍ଟୋର, ଏବଂ ZXCVFIXVIBET ଫାୟାରଷ୍ଟୋର ପାଇଁ, ଏହା ପ୍ରଥମେ ମୂଳ ସଂଗ୍ରହ ତାଲିକା ଚେଷ୍ଟା କରେ; ଯେତେବେଳେ ତାଲିକା ଅବରୋଧିତ ହୁଏ, ଏହା ସାଧାରଣ ସମ୍ବେଦନଶୀଳ ସଂଗ୍ରହ ନାମଗୁଡ଼ିକୁ ମଧ୍ୟ ଯାଞ୍ଚ କରିଥାଏ ଯେପରିକି users, accounts, customers, orders, ZXCVFIXVI messages, admin, ଏବଂ settings | ଏହା କେବଳ ସଫଳ ଅଜ୍ onymous ାତ ପ read ଼ିବା କିମ୍ବା ତାଲିକାଭୁକ୍ତ କରିଥାଏ ଏବଂ ଗ୍ରାହକ ଡକ୍ୟୁମେଣ୍ଟ ବିଷୟବସ୍ତୁ ଲେଖିବା, ବିଲୋପ କିମ୍ବା ସଂରକ୍ଷଣ କରେ ନାହିଁ |