ਪ੍ਰਭਾਵ
ਹਮਲਾਵਰ ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS), ਕਲਿੱਕਜੈਕਿੰਗ, ਅਤੇ ਮਸ਼ੀਨ-ਇਨ-ਦ-ਮਿਡਲ ਹਮਲੇ ਕਰਨ ਲਈ ਸੁਰੱਖਿਆ ਸਿਰਲੇਖਾਂ ਦੀ ਅਣਹੋਂਦ ਦਾ ਫਾਇਦਾ ਉਠਾ ਸਕਦੇ ਹਨ [S1][S3]। ਇਹਨਾਂ ਸੁਰੱਖਿਆਵਾਂ ਤੋਂ ਬਿਨਾਂ, ਸੰਵੇਦਨਸ਼ੀਲ ਉਪਭੋਗਤਾ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਵਾਤਾਵਰਨ [S3] ਵਿੱਚ ਇੰਜੈਕਟ ਕੀਤੀਆਂ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਦੁਆਰਾ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਇਕਸਾਰਤਾ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਮੂਲ ਕਾਰਨ
AI-ਸੰਚਾਲਿਤ ਵਿਕਾਸ ਸਾਧਨ ਅਕਸਰ ਸੁਰੱਖਿਆ ਸੰਰਚਨਾਵਾਂ ਨਾਲੋਂ ਕਾਰਜਸ਼ੀਲ ਕੋਡ ਨੂੰ ਤਰਜੀਹ ਦਿੰਦੇ ਹਨ। ਸਿੱਟੇ ਵਜੋਂ, ਬਹੁਤ ਸਾਰੇ AI-ਨਿਰਮਿਤ ਟੈਂਪਲੇਟਸ ਗੰਭੀਰ HTTP ਜਵਾਬ ਸਿਰਲੇਖਾਂ ਨੂੰ ਛੱਡ ਦਿੰਦੇ ਹਨ ਜੋ ਆਧੁਨਿਕ ਬ੍ਰਾਊਜ਼ਰ ਰੱਖਿਆ-ਵਿੱਚ-ਡੂੰਘਾਈ ਵਾਲੇ [S1] ਲਈ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਵਿਕਾਸ ਦੇ ਪੜਾਅ ਦੌਰਾਨ ਏਕੀਕ੍ਰਿਤ ਡਾਇਨਾਮਿਕ ਐਪਲੀਕੇਸ਼ਨ ਸਿਕਿਓਰਿਟੀ ਟੈਸਟਿੰਗ (DAST) ਦੀ ਘਾਟ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਇਹ ਸੰਰਚਨਾ ਅੰਤਰਾਂ ਦੀ ਤੈਨਾਤੀ [S2] ਤੋਂ ਪਹਿਲਾਂ ਘੱਟ ਹੀ ਪਛਾਣ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਕੰਕਰੀਟ ਫਿਕਸ
- ਸੁਰੱਖਿਆ ਸਿਰਲੇਖਾਂ ਨੂੰ ਲਾਗੂ ਕਰੋ:
Content-Security-Policy,Strict-Transport-Security,X-Frame-Options, ਅਤੇ ZXCVFIXVIBETOKEN3ZXVCVICVX4XVICVX4 ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਵੈੱਬ ਸਰਵਰ ਜਾਂ ਐਪਲੀਕੇਸ਼ਨ ਫਰੇਮਵਰਕ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ। - ਆਟੋਮੇਟਿਡ ਸਕੋਰਿੰਗ: ਉੱਚ ਸੁਰੱਖਿਆ ਸਥਿਤੀ [S1] ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਣ ਲਈ ਸਿਰਲੇਖ ਦੀ ਮੌਜੂਦਗੀ ਅਤੇ ਤਾਕਤ ਦੇ ਆਧਾਰ 'ਤੇ ਸੁਰੱਖਿਆ ਸਕੋਰਿੰਗ ਪ੍ਰਦਾਨ ਕਰਨ ਵਾਲੇ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰੋ।
- ਨਿਰੰਤਰ ਸਕੈਨਿੰਗ: ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਅਟੈਕ ਸਤਹ [S2] ਵਿੱਚ ਚੱਲ ਰਹੀ ਦਿੱਖ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ CI/CD ਪਾਈਪਲਾਈਨ ਵਿੱਚ ਸਵੈਚਲਿਤ ਕਮਜ਼ੋਰੀ ਸਕੈਨਰਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰੋ।
FixVibe ਇਸਦੇ ਲਈ ਕਿਵੇਂ ਟੈਸਟ ਕਰਦਾ ਹੈ
FixVibe ਪਹਿਲਾਂ ਹੀ ਇਸ ਨੂੰ ਪੈਸਿਵ headers.security-headers ਸਕੈਨਰ ਮੋਡੀਊਲ ਰਾਹੀਂ ਕਵਰ ਕਰਦਾ ਹੈ। ਇੱਕ ਆਮ ਪੈਸਿਵ ਸਕੈਨ ਦੇ ਦੌਰਾਨ, FixVibe ਇੱਕ ਬ੍ਰਾਊਜ਼ਰ ਵਾਂਗ ਟਾਰਗੇਟ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ CSP, HSTS, X-Frame-Options, X-Content-Options, Repec-Options, Reply-Options, HSTS ਲਈ ਅਰਥਪੂਰਨ HTML ਅਤੇ ਕਨੈਕਸ਼ਨ ਜਵਾਬਾਂ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਅਨੁਮਤੀ-ਨੀਤੀ। ਮੋਡੀਊਲ ਕਮਜ਼ੋਰ CSP ਸਕ੍ਰਿਪਟ ਸਰੋਤਾਂ ਨੂੰ ਵੀ ਫਲੈਗ ਕਰਦਾ ਹੈ ਅਤੇ JSON, 204, ਰੀਡਾਇਰੈਕਟ, ਅਤੇ ਗਲਤੀ ਜਵਾਬਾਂ 'ਤੇ ਗਲਤ ਸਕਾਰਾਤਮਕ ਤੋਂ ਬਚਦਾ ਹੈ ਜਿੱਥੇ ਦਸਤਾਵੇਜ਼-ਸਿਰਫ਼ ਸਿਰਲੇਖ ਲਾਗੂ ਨਹੀਂ ਹੁੰਦੇ ਹਨ।