FixVibe
Covered by FixVibehigh

MVP සුරක්ෂිත කිරීම: AI-උත්පාදනය කරන ලද SaaS යෙදුම්වල දත්ත කාන්දු වීම වැළැක්වීම

ශීඝ්‍රයෙන් දියුණු වූ SaaS යෙදුම් බොහෝ විට තීරනාත්මක ආරක්ෂක අධීක්ෂණ වලින් පීඩා විඳිති. මෙම පර්යේෂණය මඟින් කාන්දු වූ රහස් සහ නැති වූ පේළි මට්ටමේ ආරක්ෂාව (RLS) වැනි බිඳුණු ප්‍රවේශ පාලනයන් නවීන වෙබ් ස්ටැක් තුළ ඉහළ බලපෑමක් ඇති කරන දුර්වලතා ඇති කරන්නේ කෙසේදැයි ගවේෂණය කරයි.

CWE-284CWE-798CWE-668

ප්‍රහාරක බලපෑම

ප්‍රහාරකයෙකුට සංවේදී පරිශීලක දත්ත වෙත අනවසර ප්‍රවේශයක් ලබා ගැනීමට, දත්ත සමුදා වාර්තා වෙනස් කිරීමට හෝ MVP යෙදවීමේදී පොදු අධීක්ෂණ ප්‍රයෝජන ගැනීමෙන් යටිතල පහසුකම් පැහැර ගැනීමට හැකිය. [S4] නොමැති ප්‍රවේශ පාලන හේතුවෙන් හරස් කුලී නිවැසියන්ගේ දත්ත වෙත ප්‍රවේශ වීම හෝ ඒකාබද්ධ සේවා [S2] වෙතින් පිරිවැය දැරීමට සහ පිටකිරීම සඳහා කාන්දු වූ API යතුරු භාවිතා කිරීම මෙයට ඇතුළත් වේ.

මූල හේතුව

MVP දියත් කිරීමට කඩිමුඩියේ, සංවර්ධකයින්-විශේෂයෙන් AI-සහය ඇති "vibe කේතීකරණය" භාවිතා කරන අය - නිතර අත්තිවාරම් ආරක්ෂක වින්‍යාසයන් නොසලකා හරිති. මෙම අවදානම් වල මූලික රියදුරන් වන්නේ:

  • රහස් කාන්දු වීම: දත්ත සමුදා තන්තු හෝ AI සපයන්නාගේ යතුරු වැනි අක්තපත්‍ර, [S2] අනුවාද පාලනයට අහම්බෙන් කැපවී ඇත.
  • බිඳුණු ප්‍රවේශ පාලනය: යෙදුම් දැඩි අවසර සීමාවන් බලාත්මක කිරීමට අපොහොසත් වන අතර, පරිශීලකයින්ට අනෙක් අයට අයත් සම්පත් වෙත ප්‍රවේශ වීමට ඉඩ සලසයි [S4].
  • අවසර දත්ත සමුදා ප්‍රතිපත්ති: Supabase වැනි නවීන BaaS (පසුපස-සේවාව) සැකසුම් තුළ, සක්‍රීය කිරීමට සහ නිවැරදිව වින්‍යාස කිරීමට අපොහොසත් වීම, පේළි මට්ටමේ ආරක්ෂාව (ZXCVFX) වෙත සෘජුවම දත්ත විවෘත කරයි. සේවාලාභී පාර්ශවීය පුස්තකාල හරහා සූරාකෑම [S5].
  • දුර්වල ටෝකන් කළමනාකරණය: සත්‍යාපන ටෝකන අනිසි ලෙස හැසිරවීම සැසි පැහැර ගැනීමකට හෝ අනවසර API ප්‍රවේශයට හේතු විය හැක [S3].

කොන්ක්‍රීට් සවි කිරීම්

පේළි මට්ටමේ ආරක්ෂාව ක්‍රියාත්මක කරන්න (RLS)

Supabase, RLS වැනි Postgres-පාදක පසුබිම් භාවිතා කරන යෙදුම් සඳහා සෑම වගුවකම සබල කළ යුතුය. RLS දත්ත සමුදා එන්ජිම විසින්ම ප්‍රවේශ සීමාවන් බලාත්මක කරන බව සහතික කරයි, වලංගු සත්‍යාපන ටෝකනයක් [S5] සතුව තිබියදී පවා පරිශීලකයෙකු වෙනත් පරිශීලකයෙකුගේ දත්ත විමසීමෙන් වළක්වයි.

රහස් පරිලෝකනය ස්වයංක්‍රීය කරන්න

API යතුරු හෝ සහතික [S2] වැනි සංවේදී අක්තපත්‍රවල තල්ලුව හඳුනා ගැනීමට සහ අවහිර කිරීමට සංවර්ධන කාර්ය ප්‍රවාහයට රහස් පරිලෝකනය ඒකාබද්ධ කරන්න. රහසක් කාන්දු වුවහොත්, එය සම්මුතියට ලක් වූ [S2] ලෙස සැලකිය යුතු බැවින්, එය වහාම අවලංගු කර කරකැවිය යුතුය.

දැඩි සංකේත පිළිවෙත් බලාත්මක කරන්න

සැසි කළමනාකරණය සඳහා ආරක්ෂිත, HTTP-පමණක් කුකීස් භාවිතා කිරීම සහ ප්‍රහාරකයින් විසින් නැවත භාවිතා කිරීම වැළැක්වීමට හැකි සෑම තැනකම ටෝකන යවන්නන් සීමා කර ඇති බව සහතික කිරීම ඇතුළුව ටෝකන් ආරක්ෂාව සඳහා කර්මාන්ත ප්‍රමිතීන් අනුගමනය කරන්න.

සාමාන්‍ය වෙබ් ආරක්ෂණ ශීර්ෂ යොදන්න

සාමාන්‍ය බ්‍රවුසරය පදනම් කරගත් ප්‍රහාර අවම කිරීම සඳහා අන්තර්ගත ආරක්ෂණ ප්‍රතිපත්ති (CSP) සහ ආරක්ෂිත ප්‍රවාහන ප්‍රොටෝකෝල වැනි සම්මත වෙබ් ආරක්ෂණ පියවර යෙදුම ක්‍රියාත්මක කරන බවට සහතික වන්න.

FixVibe ඒ සඳහා පරීක්ෂා කරන ආකාරය

FixVibe දැනටමත් බහු සජීවී ස්කෑන් පෘෂ්ඨ හරහා මෙම දත්ත කාන්දු පන්තිය ආවරණය කරයි:

  • Supabase RLS නිරාවරණය: baas.supabase-rls පොදු Supabase URL/anon-key pairs extracts the public Supabase එකම සම්භවයක් ඇති වගු, නිරාවරණ වගු සහ පෝස්ට් යුගල ඉටු කරයි. වගු දත්ත නිරාවරණය වී ඇත්ද යන්න තහවුරු කිරීමට කියවීමට පමණක් නිර්නාමික SELECT පරීක්ෂා කරයි.
  • Repo RLS හිඩැස්: repo.supabase.missing-rls ගැලපෙන ALTER TABLE ... ENABLE ROW LEVEL SECURITYFIXVIBETOKEN1Z හි පොදු වගු සඳහා GitHub ගබඩා SQL සංක්‍රමණයන් අනුමත කරයි.
  • Supabase ගබඩා ඉරියව්ව: baas.supabase-security-checklist-backfill පාරිභෝගික දත්ත උඩුගත කිරීම හෝ විකෘති කිරීමකින් තොරව පොදු ගබඩා බාල්දි පාර-දත්ත සහ නිර්නාමික ලැයිස්තුගත කිරීමේ නිරාවරණය සමාලෝචනය කරයි.
  • රහස් සහ බ්‍රවුසර ඉරියව්: secrets.js-bundle-sweep, headers.security-headers, සහ headers.cookie-attributes ධජය කාන්දු වූ සේවාදායක පාර්ශ්ව අක්තපත්‍ර, නැතිවූ බ්‍රවුසර දැඩි කිරීමේ ශීර්ෂ, සහ දුර්වල සත්‍යාපන කුකී කොඩි.
  • ගේටඩ් ප්‍රවේශ-පාලන පරීක්ෂණ: පාරිභෝගිකයා සක්‍රිය ස්කෑන් සක්‍රීය කරන විට සහ වසම් හිමිකම සත්‍යාපනය කළ විට, active.idor-walking සහ active.tenant-isolation පරීක්ෂණ මගින් IDOR/BOLA-විලාසයේ හරස් සම්පත් සහ හරස් කුලී නිරාවරණ දත්ත සඳහා මාර්ග සොයා ගන්නා ලදී.