FixVibe
Covered by FixVibehigh

Firebase सुरक्षानियमाः: अनधिकृतदत्तांशप्रकाशनस्य निवारणम्

Firebase सुरक्षानियमाः Firestore तथा Cloud Storage इत्यस्य उपयोगेन सर्वररहितानाम् अनुप्रयोगानाम् प्राथमिकरक्षाः सन्ति । यदा एते नियमाः अत्यन्तं अनुमताः भवन्ति, यथा उत्पादनस्य वैश्विकपठनलेखनप्रवेशस्य अनुमतिः, आक्रमणकारिणः संवेदनशीलदत्तांशं चोरयितुं वा विलोपयितुं वा अभिप्रेतं अनुप्रयोगतर्कं बाईपासं कर्तुं शक्नुवन्ति अस्मिन् शोधकार्य्ये सामान्यदोषविन्यासाः, 'परीक्षणविधिः' पूर्वनिर्धारितानां जोखिमाः, परिचय-आधारित-प्रवेश-नियन्त्रणं कथं कार्यान्वितुं च अन्वेषितम् अस्ति ।

CWE-284CWE-863

Firebase सुरक्षानियमाः Firestore, Realtime Database, Cloud Storage [S1] इत्यत्र आँकडानां रक्षणार्थं दानेदारं, सर्वर-प्रवर्तितं तन्त्रं प्रदान्ति यतो हि Firebase अनुप्रयोगाः प्रायः एतैः मेघसेवाभिः सह प्रत्यक्षतया क्लायन्ट् पक्षतः अन्तरक्रियां कुर्वन्ति, एते नियमाः पृष्ठभागस्य आँकडा [S1] इत्यस्य अनधिकृतप्रवेशं निवारयन्तः एकमात्रं बाधकं प्रतिनिधियन्ति

अनुमत नियमों का प्रभाव

दुर्विन्यस्तनियमाः महत्त्वपूर्णदत्तांशसंसर्गं जनयितुं शक्नुवन्ति [S2]. यदि नियमाः अत्यधिकं अनुमताः इति सेट् कृताः सन्ति-उदाहरणार्थं, पूर्वनिर्धारित 'परीक्षणविधा' सेटिंग्स् इत्यस्य उपयोगेन ये वैश्विकप्रवेशस्य अनुमतिं ददति-तर्हि परियोजना-ID इत्यस्य ज्ञानं विद्यमानः कोऽपि उपयोक्ता सम्पूर्णं दत्तांशकोशसामग्री [S2] पठितुं, परिवर्तयितुं, अथवा विलोपयितुं शक्नोति इदं सर्वान् क्लायन्ट्-पक्षीयसुरक्षा-उपायान् बाईपासं करोति तथा च संवेदनशील-उपयोक्तृ-सूचनायाः हानिः अथवा कुल-सेवा-विघटनं [S2] इत्यस्य परिणामः भवितुम् अर्हति ।

मूलकारणम् : अपर्याप्त प्राधिकरणतर्कः

एतेषां दुर्बलतानां मूलकारणं सामान्यतया विशिष्टानि शर्ताः कार्यान्वितुं विफलता भवति ये उपयोक्तृपरिचयस्य अथवा संसाधनगुणानां आधारेण प्रवेशं प्रतिबन्धयन्ति [S3] विकासकाः प्रायः उत्पादनवातावरणेषु पूर्वनिर्धारितविन्यासान् सक्रियरूपेण त्यजन्ति ये request.auth वस्तु [S3] प्रमाणीकरणं न कुर्वन्ति । request.auth इत्यस्य मूल्याङ्कनं विना, प्रणाली वैधप्रमाणितप्रयोक्तृणां तथा अनामनुरोधकस्य [S3] इत्यस्य मध्ये भेदं कर्तुं न शक्नोति।

तकनीकी सुधार

Firebase वातावरणं सुरक्षितं कर्तुं मुक्तप्रवेशात् न्यूनतम-विशेषाधिकारस्य प्रधान-प्रतिरूपं प्रति गन्तुं आवश्यकम् अस्ति ।

  • प्रमाणीकरणं प्रवर्तयन्तु: सुनिश्चितं कुर्वन्तु यत् सर्वेषां संवेदनशीलमार्गाणां वैधप्रयोक्तृसत्रस्य आवश्यकता भवति यत् request.auth वस्तु शून्यं नास्ति [S3] इति जाँचयित्वा।
  • परिचय-आधारित-प्रवेशं कार्यान्वितं कुर्वन्तु: एतादृशान् नियमान् विन्यस्यन्तु ये उपयोक्तुः UID (request.auth.uid) दस्तावेजस्य अन्तः क्षेत्रेण वा स्वयं दस्तावेज-ID-इत्यनेन सह तुलनां कुर्वन्ति येन सुनिश्चितं भवति यत् उपयोक्तारः केवलं स्वस्य आँकडा [S3] अभिगन्तुं शक्नुवन्ति।
  • दानेदार अनुमतिव्याप्तिः: संग्रहाणां कृते वैश्विकवाइल्डकार्ड्स् परिहरन्तु। तस्य स्थाने, सम्भाव्य आक्रमणपृष्ठं [S2] न्यूनीकर्तुं प्रत्येकस्य संग्रहस्य उपसङ्ग्रहस्य च विशिष्टनियमान् परिभाषयन्तु ।
  • Emulator Suite मार्गेण प्रमाणीकरणं: सुरक्षानियमानाम् स्थानीयरूपेण परीक्षणार्थं Firebase Emulator Suite इत्यस्य उपयोगं कुर्वन्तु। एतेन [S2] लाइव वातावरणे परिनियोजनात् पूर्वं विविधप्रयोक्तृव्यक्तित्वस्य विरुद्धं अभिगमनियन्त्रणतर्कस्य सत्यापनस्य अनुमतिः भवति ।

FixVibe तस्य परीक्षणं कथं करोति

FixVibe इदानीं केवलं पठनीयं BaaS स्कैनरूपेण एतत् समाविष्टं करोति । baas.firebase-rules Firebase विन्यासः समान-मूल-जावास्क्रिप्ट-बण्डल्-तः निष्कासयति, यत्र आधुनिक-initializeApp(...) बण्डल्-आकाराः सन्ति, ततः अप्रमाणित-पठन-सहितं Realtime Database, Firestore, तथा Firebase Storage इत्यस्य जाँचं करोति अनुरोधं करोति। Firestore कृते प्रथमं मूलसङ्ग्रहसूचीं प्रयतते; यदा सूचीकरणं अवरुद्धं भवति तदा एतत् सामान्यसंवेदनशीलसङ्ग्रहनामानां अन्वेषणं अपि करोति यथा users, accounts, customers, orders, payments, messages, admin, तथा settings। इदं केवलं सफलान् अनामपठनानि वा सूचीकरणं वा निवेदयति तथा च ग्राहकदस्तावेजसामग्री न लिखति, न विलोपयति, न संगृह्णाति वा ।