FixVibe
Covered by FixVibehigh

| MVP କୁ ସୁରକ୍ଷିତ କରିବା: AI- ଉତ୍ପାଦିତ SaaS ଆପଗୁଡ଼ିକରେ ଡାଟା ଲିକ୍ ରୋକିବା |

| ZXCVFIXVIBESEG2 | ଦ୍ରୁତ ବିକଶିତ SaaS ପ୍ରୟୋଗଗୁଡ଼ିକ ପ୍ରାୟତ critical ଜଟିଳ ସୁରକ୍ଷା ତଦାରଖରେ ପୀଡିତ | ଏହି ଅନୁସନ୍ଧାନ ଅନୁସନ୍ଧାନ କରେ କିପରି ଲୁକ୍କାୟିତ ରହସ୍ୟ ଏବଂ ଭଙ୍ଗା ପ୍ରବେଶ ନିୟନ୍ତ୍ରଣ, ଯେପରିକି ନିଖୋଜ ଧାଡି ସ୍ତର ସୁରକ୍ଷା (RLS), ଆଧୁନିକ ୱେବ୍ ଷ୍ଟାକରେ ଉଚ୍ଚ-ପ୍ରଭାବ ଦୁର୍ବଳତା ସୃଷ୍ଟି କରେ |

CWE-284CWE-798CWE-668

| ZXCVFIXVIBESEG3 |

ଆକ୍ରମଣକାରୀ ପ୍ରଭାବ

| ZXCVFIXVIBESEG4 | ଜଣେ ଆକ୍ରମଣକାରୀ MVP ନିୟୋଜନରେ ସାଧାରଣ ତଦାରଖକୁ ବ୍ୟବହାର କରି ସମ୍ବେଦନଶୀଳ ଉପଭୋକ୍ତା ତଥ୍ୟ, ଡାଟାବେସ୍ ରେକର୍ଡ ସଂଶୋଧନ କିମ୍ବା ଭିତ୍ତିଭୂମି ଅପହରଣ କରି ଅନଧିକୃତ ପ୍ରବେଶ ହାସଲ କରିପାରନ୍ତି | ଆକ୍ସେସ୍ କଣ୍ଟ୍ରୋଲ୍ [S4] ହଜିଯିବା କିମ୍ବା ଲିକ୍ ହୋଇଥିବା API ଚାବି ବ୍ୟବହାର କରିବା କାରଣରୁ [S2] ଖର୍ଚ୍ଚ ବହନ କରିବା ଏବଂ କ୍ରସ-ଭିକାରୀ ତଥ୍ୟକୁ ଏଥିରେ ଅନ୍ତର୍ଭୂକ୍ତ କରେ |

| ZXCVFIXVIBESEG5 |

ମୂଳ କାରଣ |

| ZXCVFIXVIBESEG6 | ଏକ MVP ଲଞ୍ଚ କରିବାକୁ ଦ୍ରୁତ ଗତିରେ, ବିକାଶକାରୀମାନେ - ବିଶେଷତ Z ଯେଉଁମାନେ AI- ସହାୟକ ହୋଇଥିବା "ଭିବ୍ କୋଡିଂ" ବ୍ୟବହାର କରନ୍ତି - ମୂଳ ଭିତ୍ତିକ ସୁରକ୍ଷା ସଂରଚନାକୁ ବାରମ୍ବାର ଅଣଦେଖା କରନ୍ତି | ଏହି ଦୁର୍ବଳତାର ପ୍ରାଥମିକ ଡ୍ରାଇଭରଗୁଡ଼ିକ ହେଉଛି:

| ZXCVFIXVIBESEG7 | 1। | ZXCVFIXVIBESEG8 | ୨। | ZXCVFIXVIBESEG9 | ।। [S5] | | ZXCVFIXVIBESEG10 4।

| ZXCVFIXVIBESEG11

କଂକ୍ରିଟ୍ ଫିକ୍ସସ୍ |

| ZXCVFIXVIBESEG12

ଧାଡି ସ୍ତରର ସୁରକ୍ଷା କାର୍ଯ୍ୟକାରୀ କରନ୍ତୁ (RLS)

| ZXCVFIXVIBESEG13 | ପୋଷ୍ଟଗ୍ରସ୍-ଆଧାରିତ ବ୍ୟାକେଣ୍ଡ୍ ବ୍ୟବହାର କରୁଥିବା ପ୍ରୟୋଗଗୁଡ଼ିକ ପାଇଁ Supabase, RLS ପ୍ରତ୍ୟେକ ଟେବୁଲରେ ସକ୍ଷମ ହେବା ଜରୁରୀ | RLS ସୁନିଶ୍ଚିତ କରେ ଯେ ଡାଟାବେସ୍ ଇଞ୍ଜିନ୍ ନିଜେ ପ୍ରବେଶ ସୀମାବଦ୍ଧତାକୁ ବାଧ୍ୟତାମୂଳକ କରେ, ଏକ ଉପଭୋକ୍ତାଙ୍କୁ ଅନ୍ୟ ଉପଭୋକ୍ତାଙ୍କର ତଥ୍ୟ ପଚାରିବାରୁ ବାରଣ କରେ ଯଦିଓ ସେମାନଙ୍କର ବ valid ଧ ପ୍ରାମାଣିକିକରଣ ଟୋକନ୍ [S5] |

| ZXCVFIXVIBESEG14

ସ୍ୱୟଂଚାଳିତ ଗୁପ୍ତ ସ୍କାନିଂ |

| ZXCVFIXVIBESEG15 API କି କିମ୍ବା ସାର୍ଟିଫିକେଟ୍ [S2] ପରି ସମ୍ବେଦନଶୀଳ ପରିଚୟପତ୍ରର ପୁସ୍ ଚିହ୍ନଟ ଏବଂ ଅବରୋଧ କରିବା ପାଇଁ ବିକାଶ କାର୍ଯ୍ୟ ପ୍ରବାହରେ ଗୁପ୍ତ ସ୍କାନିଂକୁ ଏକତ୍ର କରନ୍ତୁ | ଯଦି କ secret ଣସି ରହସ୍ୟ ଲିକ୍ ହୁଏ, ତେବେ ଏହାକୁ ତୁରନ୍ତ ପ୍ରତ୍ୟାହାର କରି ଘୂର୍ଣ୍ଣନ କରାଯିବା ଆବଶ୍ୟକ, ଯେହେତୁ ଏହାକୁ ଆପୋଷ ବୁ Z ାମଣା [S2] ଭାବରେ ବିବେଚନା କରାଯିବା ଉଚିତ |

| ZXCVFIXVIBESEG16 |

କଠୋର ଟୋକେନ୍ ଅଭ୍ୟାସକୁ ବାଧ୍ୟତାମୂଳକ କର |

| ZXCVFIXVIBESEG17 ଟୋକେନ୍ ସୁରକ୍ଷା ପାଇଁ ଶିଳ୍ପ ମାନକ ଅନୁସରଣ କରନ୍ତୁ, ଅଧିବେଶନ ପରିଚାଳନା ପାଇଁ ସୁରକ୍ଷିତ, HTTP- କେବଳ କୁକିଜ ବ୍ୟବହାର କରିବା ଏବଂ ଟୋକେନ୍ ନିଶ୍ଚିତ ଭାବରେ ପ୍ରେରକ-ସୀମିତ ଅଟେ ଯେଉଁଠାରେ ଆକ୍ରମଣକାରୀଙ୍କ ଦ୍ use ାରା ପୁନ use ବ୍ୟବହାରକୁ ରୋକିବା ପାଇଁ [S3] |

| ZXCVFIXVIBESEG18

ସାଧାରଣ ୱେବ୍ ସୁରକ୍ଷା ହେଡର୍ ପ୍ରୟୋଗ କରନ୍ତୁ |

| ZXCVFIXVIBESEG19 | ନିଶ୍ଚିତ କରନ୍ତୁ ଯେ ସାଧାରଣ ବ୍ରାଉଜର୍ ଆଧାରିତ ଆକ୍ରମଣକୁ ହ୍ରାସ କରିବାକୁ [S1] ପରି ବିଷୟବସ୍ତୁ ସୁରକ୍ଷା ନୀତି (CSP) ଏବଂ ସୁରକ୍ଷିତ ପରିବହନ ପ୍ରୋଟୋକଲଗୁଡିକ ପ୍ରୟୋଗ ଷ୍ଟାଣ୍ଡାର୍ଡ ୱେବ୍ ସୁରକ୍ଷା ବ୍ୟବସ୍ଥା କାର୍ଯ୍ୟକାରୀ କରେ |

| ZXCVFIXVIBESEG20

ଏହା ପାଇଁ FixVibe କିପରି ପରୀକ୍ଷା କରେ |

| ZXCVFIXVIBESEG21 | FixVibe ପୂର୍ବରୁ ଏକାଧିକ ଲାଇଭ ସ୍କାନ ପୃଷ୍ଠଭୂମିରେ ଏହି ଡାଟା-ଲିକ୍ କ୍ଲାସକୁ ଅନ୍ତର୍ଭୁକ୍ତ କରେ:

| ** ତଥ୍ୟ ଉନ୍ମୋଚିତ ହୋଇଛି | | ZXCVFIXVIBESEG1 |

  • ରେପୋ RLS ଫାଙ୍କ

| ZXCVFIXVIBESEG2 |

  • Supabase ଷ୍ଟୋରେଜ୍ ସ୍ଥିତି : baas.supabase-security-checklist-backfill ଗ୍ରାହକଙ୍କ ତଥ୍ୟ ଅପଲୋଡ୍ କିମ୍ବା ପରିବର୍ତ୍ତନ ନକରି ସର୍ବସାଧାରଣ ଷ୍ଟୋରେଜ୍ ବାଲ୍ଟି ମେଟାଡାଟା ଏବଂ ଅଜ୍ଞାତ ତାଲିକା ଏକ୍ସପୋଜର ସମୀକ୍ଷା କରେ |

| ZXCVFIXVIBESEG3 | | ZXCVFIXVIBESEG4 |