ਹੁੱਕ
ਆਮ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਖਤਰੇ ਦੀਆਂ ਕਲਾਸਾਂ ਉਤਪਾਦਨ ਸੁਰੱਖਿਆ ਘਟਨਾਵਾਂ ਦੇ ਪ੍ਰਾਇਮਰੀ ਡਰਾਈਵਰ ਬਣੀਆਂ ਰਹਿੰਦੀਆਂ ਹਨ [S1]. ਇਹਨਾਂ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਛੇਤੀ ਪਛਾਣ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿਉਂਕਿ ਆਰਕੀਟੈਕਚਰਲ ਨਿਗਰਾਨੀ ਮਹੱਤਵਪੂਰਨ ਡਾਟਾ ਐਕਸਪੋਜ਼ਰ ਜਾਂ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ [S2] ਵੱਲ ਲੈ ਜਾ ਸਕਦੀ ਹੈ।
ਕੀ ਬਦਲ ਗਿਆ
ਜਦੋਂ ਕਿ ਖਾਸ ਕਾਰਨਾਮੇ ਵਿਕਸਿਤ ਹੁੰਦੇ ਹਨ, ਸਾਫਟਵੇਅਰ ਕਮਜ਼ੋਰੀਆਂ ਦੀਆਂ ਅੰਤਰੀਵ ਸ਼੍ਰੇਣੀਆਂ ਵਿਕਾਸ ਚੱਕਰਾਂ ਵਿੱਚ [S1] ਇੱਕਸਾਰ ਰਹਿੰਦੀਆਂ ਹਨ। ਇਹ ਸਮੀਖਿਆ ਮੌਜੂਦਾ ਵਿਕਾਸ ਰੁਝਾਨਾਂ ਨੂੰ 2024 CWE ਸਿਖਰ ਦੀ 25 ਸੂਚੀ ਵਿੱਚ ਨਕਸ਼ੇ ਕਰਦੀ ਹੈ ਅਤੇ 2026 [S1] [S3] ਲਈ ਇੱਕ ਅਗਾਂਹਵਧੂ ਚੈਕਲਿਸਟ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਵੈੱਬ ਸੁਰੱਖਿਆ ਮਾਪਦੰਡ ਸਥਾਪਤ ਕਰਦੀ ਹੈ। ਇਹ ਵਿਅਕਤੀਗਤ CVEs ਦੀ ਬਜਾਏ ਪ੍ਰਣਾਲੀਗਤ ਅਸਫਲਤਾਵਾਂ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ, ਬੁਨਿਆਦੀ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣ [S2] ਦੀ ਮਹੱਤਤਾ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦਾ ਹੈ।
ਕੌਣ ਪ੍ਰਭਾਵਿਤ ਹੁੰਦਾ ਹੈ
ਜਨਤਕ-ਸਾਹਮਣੇ ਵਾਲੇ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਵਾਲੀ ਕੋਈ ਵੀ ਸੰਸਥਾ ਇਹਨਾਂ ਆਮ ਕਮਜ਼ੋਰੀ ਸ਼੍ਰੇਣੀਆਂ [S1] ਦਾ ਸਾਹਮਣਾ ਕਰਨ ਦੇ ਜੋਖਮ ਵਿੱਚ ਹੈ। ਉਹ ਟੀਮਾਂ ਜੋ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਤਰਕ ਦੀ ਮੈਨੂਅਲ ਤਸਦੀਕ ਤੋਂ ਬਿਨਾਂ ਫਰੇਮਵਰਕ ਡਿਫੌਲਟ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀਆਂ ਹਨ [S2] ਅਧਿਕਾਰਤ ਅੰਤਰਾਂ ਲਈ ਖਾਸ ਤੌਰ 'ਤੇ ਕਮਜ਼ੋਰ ਹੁੰਦੀਆਂ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਆਧੁਨਿਕ ਬ੍ਰਾਊਜ਼ਰ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਦੀ ਘਾਟ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਕਲਾਇੰਟ-ਸਾਈਡ ਹਮਲਿਆਂ ਅਤੇ ਡੇਟਾ ਇੰਟਰਸੈਪਸ਼ਨ [S3] ਤੋਂ ਵਧੇ ਹੋਏ ਜੋਖਮ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈਂਦਾ ਹੈ।
ਮੁੱਦਾ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ
ਸੁਰੱਖਿਆ ਅਸਫਲਤਾਵਾਂ ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਸਿੰਗਲ ਕੋਡਿੰਗ ਗਲਤੀ [S2] ਦੀ ਬਜਾਏ ਇੱਕ ਖੁੰਝੇ ਜਾਂ ਗਲਤ ਢੰਗ ਨਾਲ ਲਾਗੂ ਕੀਤੇ ਨਿਯੰਤਰਣ ਤੋਂ ਪੈਦਾ ਹੁੰਦੀਆਂ ਹਨ। ਉਦਾਹਰਨ ਲਈ, ਹਰੇਕ API ਅੰਤਮ ਬਿੰਦੂ 'ਤੇ ਉਪਭੋਗਤਾ ਅਨੁਮਤੀਆਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹਿਣ ਨਾਲ ਪ੍ਰਮਾਣਿਕਤਾ ਅੰਤਰ ਪੈਦਾ ਹੁੰਦੇ ਹਨ ਜੋ ਹਰੀਜੱਟਲ ਜਾਂ ਵਰਟੀਕਲ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ [S2]। ਇਸੇ ਤਰ੍ਹਾਂ, ਆਧੁਨਿਕ ਬ੍ਰਾਊਜ਼ਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀ ਅਣਦੇਖੀ ਜਾਂ ਇਨਪੁਟਸ ਨੂੰ ਰੋਗਾਣੂ-ਮੁਕਤ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹਿਣ ਨਾਲ ਮਸ਼ਹੂਰ ਇੰਜੈਕਸ਼ਨ ਅਤੇ ਸਕ੍ਰਿਪਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਮਾਰਗ [S1] [S3] ਵੱਲ ਜਾਂਦਾ ਹੈ।
ਹਮਲਾਵਰ ਨੂੰ ਕੀ ਮਿਲਦਾ ਹੈ
ਇਹਨਾਂ ਜੋਖਮਾਂ ਦਾ ਪ੍ਰਭਾਵ ਖਾਸ ਨਿਯੰਤਰਣ ਅਸਫਲਤਾ ਦੁਆਰਾ ਬਦਲਦਾ ਹੈ। ਹਮਲਾਵਰ ਬ੍ਰਾਊਜ਼ਰ-ਸਾਈਡ ਸਕ੍ਰਿਪਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ ਜਾਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ [S3] ਨੂੰ ਰੋਕਣ ਲਈ ਕਮਜ਼ੋਰ ਟ੍ਰਾਂਸਪੋਰਟ ਸੁਰੱਖਿਆ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਸਕਦੇ ਹਨ। ਟੁੱਟੇ ਹੋਏ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਦੇ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਹਮਲਾਵਰ ਸੰਵੇਦਨਸ਼ੀਲ ਉਪਭੋਗਤਾ ਡੇਟਾ ਜਾਂ ਪ੍ਰਸ਼ਾਸਕੀ ਫੰਕਸ਼ਨਾਂ [S2] ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ। ਸਭ ਤੋਂ ਖ਼ਤਰਨਾਕ ਸੌਫਟਵੇਅਰ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਅਕਸਰ ਸਿਸਟਮ ਨਾਲ ਸਮਝੌਤਾ ਜਾਂ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ [S1] ਹੁੰਦਾ ਹੈ।
FixVibe ਇਸਦੇ ਲਈ ਕਿਵੇਂ ਟੈਸਟ ਕਰਦਾ ਹੈ
FixVibe ਹੁਣ ਇਸ ਚੈਕਲਿਸਟ ਨੂੰ ਰੈਪੋ ਅਤੇ ਵੈੱਬ ਜਾਂਚਾਂ ਰਾਹੀਂ ਕਵਰ ਕਰਦਾ ਹੈ। code.web-app-risk-checklist-backfill ਆਮ ਵੈਬ-ਐਪ ਜੋਖਮ ਪੈਟਰਨਾਂ ਲਈ GitHub ਰਿਪੋਜ਼ ਦੀ ਸਮੀਖਿਆ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਕੱਚਾ SQL ਇੰਟਰਪੋਲੇਸ਼ਨ, ਅਸੁਰੱਖਿਅਤ HTML ਸਿੰਕ, ਆਗਿਆਕਾਰੀ CORS, ਅਸਮਰੱਥ TLS ਪੁਸ਼ਟੀਕਰਨ, ਸਿਰਫ ਡੀਕੋਡ-ਸੀਵੀਸੀਵੀਐਕਸਬੀਐਕਸ, ਅਤੇ ਕਮਜ਼ੋਰ ZXVCVXVIX3, ਕਮਜ਼ੋਰ ਵਰਤੋਂ JWT ਗੁਪਤ ਫਾਲਬੈਕਸ। ਸੰਬੰਧਿਤ ਲਾਈਵ ਪੈਸਿਵ ਅਤੇ ਐਕਟਿਵ-ਗੇਟਿਡ ਮੋਡੀਊਲ ਕਵਰ ਹੈਡਰ, CORS, CSRF, SQL ਇੰਜੈਕਸ਼ਨ, ਪ੍ਰਮਾਣ-ਪ੍ਰਵਾਹ, ਵੈਬਹੁੱਕ, ਅਤੇ ਬੇਨਕਾਬ ਭੇਦ।
ਕੀ ਠੀਕ ਕਰਨਾ ਹੈ
ਘੱਟ ਕਰਨ ਲਈ ਸੁਰੱਖਿਆ ਲਈ ਬਹੁ-ਪੱਧਰੀ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਡਿਵੈਲਪਰਾਂ ਨੂੰ CWE ਸਿਖਰ 25 ਵਿੱਚ ਪਛਾਣੀਆਂ ਗਈਆਂ ਉੱਚ-ਜੋਖਮ ਕਮਜ਼ੋਰੀ ਸ਼੍ਰੇਣੀਆਂ ਲਈ ਐਪਲੀਕੇਸ਼ਨ ਕੋਡ ਦੀ ਸਮੀਖਿਆ ਕਰਨ ਨੂੰ ਤਰਜੀਹ ਦੇਣੀ ਚਾਹੀਦੀ ਹੈ, ਜਿਵੇਂ ਕਿ ਇੰਜੈਕਸ਼ਨ ਅਤੇ ਗਲਤ ਇਨਪੁਟ ਪ੍ਰਮਾਣਿਕਤਾ [S1]। ਅਣਅਧਿਕਾਰਤ ਡੇਟਾ ਐਕਸੈਸ [S2] ਨੂੰ ਰੋਕਣ ਲਈ ਹਰੇਕ ਸੁਰੱਖਿਅਤ ਸਰੋਤ ਲਈ ਸਖਤ, ਸਰਵਰ-ਸਾਈਡ ਐਕਸੈਸ ਕੰਟਰੋਲ ਜਾਂਚਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਜ਼ਰੂਰੀ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਟੀਮਾਂ ਨੂੰ ਲਾਜ਼ਮੀ ਤੌਰ 'ਤੇ ਮਜ਼ਬੂਤ ਆਵਾਜਾਈ ਸੁਰੱਖਿਆ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕਲਾਇੰਟ-ਸਾਈਡ ਹਮਲਿਆਂ ਤੋਂ ਬਚਾਉਣ ਲਈ ਆਧੁਨਿਕ ਵੈਬ ਸੁਰੱਖਿਆ ਸਿਰਲੇਖਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ [S3].