ٿلهو
انڊي هيڪرز اڪثر ڪري رفتار کي ترجيح ڏيندا آهن، CWE Top 25 [S1] ۾ درج ٿيل خطرن جي ڪري. تيز ڊولپمينٽ چڪر، خاص طور تي جيڪي استعمال ڪري رهيا آهن AI ٺاهيل ڪوڊ، اڪثر نظر انداز ڪن ٿا محفوظ-بي-ڊفالٽ ترتيبن کي [S2].
ڇا بدلجي ويو
جديد ويب اسٽيڪ اڪثر ڪري ڪلائنٽ-سائڊ منطق تي ڀاڙين ٿا، جيڪو ٽٽل رسائي ڪنٽرول جي ڪري سگھي ٿو جيڪڏهن سرور-سائڊ لاڳو ڪندڙ [S2] کي نظرانداز ڪيو وڃي. غير محفوظ برائوزر جي پاسي واري ترتيب پڻ ڪراس سائيٽ اسڪرپٽنگ ۽ ڊيٽا جي نمائش [S3] لاءِ بنيادي ویکٹر رهي ٿي.
ڪير متاثر ٿيو
Backend-as-a-Service (BaaS) يا AI-مدد ٿيل ورڪ فلوز استعمال ڪندي ننڍيون ٽيمون خاص طور تي [S2] غلط ترتيبن لاءِ حساس هونديون آهن. خودڪار حفاظتي جائزي جي بغير، فريم ورڪ ڊفالٽ ايپليڪيشنن کي غير مجاز ڊيٽا جي رسائي لاءِ خطرناڪ بڻائي سگھي ٿو [S3].
مسئلو ڪيئن ڪم ڪري ٿو
ڪمزوريون عام طور تي پيدا ٿينديون آهن جڏهن ڊولپرز مضبوط سرور-سائڊ اختيار کي لاڳو ڪرڻ ۾ ناڪام ٿين ٿا يا صارف جي انپٽس کي صاف ڪرڻ ۾ غفلت ڪن ٿا [S1] [S2]. اهي خال حملا ڪندڙن کي اجازت ڏين ٿا ته ارادي ايپليڪيشن منطق کي نظرانداز ڪن ۽ سڌو سنئون حساس وسيلن سان رابطو ڪن [S2].
ڇا هڪ حملو ڪندڙ حاصل ڪري ٿو
انهن ڪمزورين کي استعمال ڪرڻ سان صارف جي ڊيٽا تائين غير مجاز رسائي، تصديق جي بائي پاس، يا مقتول جي برائوزر [S2] [S2] [S3] ۾ بدسلوڪي اسڪرپٽ جي عمل جي ڪري سگھي ٿي. اهڙيون خاميون اڪثر ڪري مڪمل اڪائونٽ وٺڻ يا وڏي پئماني تي ڊيٽا ڪڍڻ جي نتيجي ۾ [S1].
ڪيئن FixVibe ان لاءِ ٽيسٽ ڪري ٿو
FixVibe گم ٿيل سيڪيورٽي هيڊرز لاءِ ايپليڪيشن جي جوابن جو تجزيو ڪندي ۽ غير محفوظ نمونن لاءِ ڪلائنٽ-سائيڊ ڪوڊ اسڪين ڪرڻ يا بي نقاب ٿيل تشڪيل جي تفصيلن جي ذريعي انهن خطرن جي نشاندهي ڪري سگهي ٿي.
ڇا حل ڪجي
ڊولپرز کي لازمي طور تي مرڪزي اختيار ڏيڻ واري منطق کي لاڳو ڪرڻ گهرجي انهي کي يقيني بڻائڻ لاءِ ته هر درخواست جي تصديق سرور سائڊ [S2] تي ڪئي وئي آهي. اضافي طور تي، مواد سيڪيورٽي پاليسي (CSP) ۽ سخت ان پٽ جي تصديق وانگر حفاظتي-کوٽائي قدمن کي ترتيب ڏيڻ انجيڪشن ۽ اسڪرپٽ جي خطرن کي گهٽائڻ ۾ مدد ڪري ٿي [S1] [S3].