FixVibe
Covered by FixVibemedium

ස්වයංක්‍රීය ආරක්ෂක ස්කෑනර් සංසන්දනය කිරීම: හැකියාවන් සහ මෙහෙයුම් අවදානම්

SQL එන්නත් කිරීම සහ XSS වැනි තීරණාත්මක දුර්වලතා හඳුනා ගැනීම සඳහා ස්වයංක්‍රීය ආරක්ෂක ස්කෑනර් අත්‍යවශ්‍ය වේ. කෙසේ වෙතත්, ඒවා සම්මත නොවන අන්තර්ක්‍රියා හරහා ඉලක්ක පද්ධතිවලට නොදැනුවත්වම හානි කළ හැකිය. මෙම පර්යේෂණය වෘත්තීය DAST මෙවලම් නොමිලේ ආරක්ෂක නිරීක්ෂණාගාර සමඟ සංසන්දනය කරන අතර ආරක්ෂිත ස්වයංක්‍රීය පරීක්ෂණ සඳහා හොඳම භාවිතයන් ගෙනහැර දක්වයි.

CWE-79CWE-89CWE-352CWE-611CWE-22CWE-918

බලපෑම

ස්වයංක්‍රීය ආරක්‍ෂක ස්කෑනර්වලට SQL එන්නත් කිරීම සහ Cross-Site Scripting (XSS) වැනි තීරණාත්මක දුර්වලතා හඳුනා ගත හැකි නමුත්, ඒවායේ සම්මත නොවන අන්තර්ක්‍රියා ක්‍රම හේතුවෙන් ඉලක්කගත පද්ධතිවලට හානි කිරීමේ අවදානමක් ද ඇති කරයි. වැරදි ලෙස වින්‍යාස කර ඇති ස්කෑන් කිරීම් සේවා කඩාකප්පල් කිරීම්, දත්ත දූෂණය, හෝ අවදානමට ලක්විය හැකි පරිසරවල අනපේක්ෂිත හැසිරීම් වලට හේතු විය හැක [S1]. විවේචනාත්මක දෝෂ සෙවීමට සහ ආරක්ෂක ඉරියව්ව වැඩිදියුණු කිරීමට මෙම මෙවලම් අත්‍යවශ්‍ය වන අතර, ඒවායේ භාවිතය [S1] මෙහෙයුම් බලපෑම් වළක්වා ගැනීම සඳහා ප්‍රවේශමෙන් කළමනාකරණය කිරීම අවශ්‍ය වේ.

මූල හේතුව

මූලික අවදානම පැන නගින්නේ DAST මෙවලම්වල ස්වයංක්‍රීය ස්වභාවයෙන් වන අතර, එය පාදක තාර්කික [S1] හි අන්ත අවස්ථා අවුලුවාලිය හැකි ගෙවීම් සහිත යෙදුම් විමර්ශනය කරයි. තවද, බොහෝ වෙබ් යෙදුම් සාමාන්‍ය වෙබ් පාදක තර්ජන [S2] වලින් ආරක්ෂා වීමට අත්‍යවශ්‍ය වන, නිසි ලෙස දැඩි වූ HTTP ශීර්ෂයන් වැනි මූලික ආරක්ෂක වින්‍යාසයන් ක්‍රියාත්මක කිරීමට අසමත් වේ. Mozilla HTTP නිරීක්ෂණාගාරය වැනි මෙවලම් ස්ථාපිත ආරක්ෂක ප්‍රවණතා සහ මාර්ගෝපදේශ [S2] සමඟ අනුකූල වීම විශ්ලේෂණය කිරීමෙන් මෙම හිඩැස් ඉස්මතු කරයි.

හඳුනාගැනීමේ හැකියාව

වෘත්තීය සහ ප්‍රජා-ශ්‍රේණියේ ස්කෑනර් අධි-බලපෑම් අවදානම් කාණ්ඩ කිහිපයක් කෙරෙහි අවධානය යොමු කරයි:

  • එන්නත් ප්‍රහාර: SQL එන්නත් සහ XML බාහිර ආයතන (XXE) එන්නත් හඳුනා ගැනීම [S1].
  • ඉල්ලීම හැසිරවීම: සේවාදායක පැති ඉල්ලීම් ව්‍යාජ (SSRF) සහ හරස් අඩවි ඉල්ලීම් ව්‍යාජ (CSRF) [S1] හඳුනා ගැනීම.
  • ප්‍රවේශ පාලනය: නාමාවලි ට්‍රැවර්සල් සහ වෙනත් අවසර ලත් මඟහැරීම් සඳහා විමර්ශනය කිරීම [S1].
  • වින්‍යාස විශ්ලේෂණය: කර්මාන්තයේ හොඳම භාවිතයන් [S2] සමඟ අනුකූල වීම සහතික කිරීම සඳහා HTTP ශීර්ෂයන් සහ ආරක්ෂක සැකසුම් ඇගයීම.

කොන්ක්‍රීට් සවි කිරීම්

  • පූර්ව ස්කෑන් අවසරය: සියලුම ස්වයංක්‍රීය පරීක්ෂණ පද්ධති හිමිකරු විසින් [S1] විය හැකි හානියේ අවදානම කළමනාකරණය කිරීමට අවසර දී ඇති බව සහතික කර ගන්න.
  • පරිසර සකස් කිරීම: [S1] අසාර්ථක වූ විට ප්‍රතිසාධනය සහතික කිරීම සඳහා සක්‍රීය අවදානම් ස්කෑන් ආරම්භ කිරීමට පෙර සියලුම ඉලක්ක පද්ධති උපස්ථ කරන්න.
  • ශීර්ෂ ක්‍රියාත්මක කිරීම: අන්තර්ගත ආරක්ෂක ප්‍රතිපත්ති (CSP) සහ දැඩි ප්‍රවාහන-ආරක්ෂාව (CSP) වැනි අතුරුදහන් වූ ආරක්ෂක ශීර්ෂ විගණනය කිරීමට සහ ක්‍රියාත්මක කිරීමට Mozilla HTTP නිරීක්ෂණාගාරය වැනි මෙවලම් භාවිතා කරන්න.
  • වේදිකා පරීක්ෂණ: ක්‍රියාකාරී බලපෑම වැළැක්වීම සඳහා නිෂ්පාදනයට වඩා හුදකලා වේදිකා හෝ සංවර්ධන පරිසරයන් තුළ අධි-තීව්‍රතා සක්‍රීය ස්කෑන් සිදු කිරීම [S1].

FixVibe ඒ සඳහා පරීක්ෂා කරන ආකාරය

FixVibe දැනටමත් නිෂ්පාදන-ආරක්ෂිත නිෂ්ක්‍රීය චෙක්පත් කැමැත්ත සහිත ක්‍රියාකාරී පරීක්ෂණ වලින් වෙන් කරයි. නිෂ්ක්‍රීය headers.security-headers මොඩියුලය ගෙවුම් යැවීමෙන් තොරව නිරීක්ෂණ-විලාසයේ ශීර්ෂ ආවරණය සපයයි. active.sqli, active.ssti, active.blind-ssrf වැනි ඉහළ-බලපෑම් චෙක්පත්, සහ අදාළ පරීක්ෂණ ක්‍රියාත්මක වන්නේ වසම් හිමිකාරිත්වය සත්‍යාපනය සහ ස්කෑන්-ආරම්භක සහතික කිරීමෙන් පසුව පමණක් වන අතර, ඒවා ව්‍යාජ-සීමිත-භූමික-නාන-විනාශකාරී ගෙවීම් සමඟ භාවිතා කරයි.