FixVibe
Covered by FixVibemedium

Fa'atusatusaga Su'e Puipuiga Fa'aautometi: Avanoa ma Fa'alavelave Fa'atino

E mana'omia su'esu'ega fa'akomepiuta mo le fa'ailoaina o fa'afitauli matuia e pei ole tui SQL ma le XSS. Ae ui i lea, e mafai ona latou fa'aleagaina faiga fa'atatau e ala i fegalegaleaiga e le masani ai. O lenei su'esu'ega e fa'atusatusa ai mea faigaluega a le DAST fa'apolofesa fa'atasi ai ma su'esu'ega saogalemu e leai se totogi ma fa'ailoa mai ai faiga sili mo su'ega otometi saogalemu.

CWE-79CWE-89CWE-352CWE-611CWE-22CWE-918

Aafiaga

E mafai ona fa'ailoa mai e tagata su'esu'e saogalemu fa'aautometi fa'afitauli fa'aletonu e pei o le tui SQL ma le Cross-Site Scripting (XSS), ae o lo'o tula'i mai ai fo'i se tulaga lamatia o le fa'aleagaina o faiga fa'atatau ona o a latou auala e le masani ai feso'ota'iga [S1]. O su'esu'ega le sa'o e mafai ona ta'ita'iina ai le fa'alavelaveina o auaunaga, fa'aletonu o fa'amaumauga, po'o le amio e le'i mafaufauina i si'osi'omaga vaivai [S1]. E ui o nei meafaigaluega e taua tele mo le sailia o faʻamaʻi mataʻutia ma faʻaleleia le tulaga saogalemu, o lo latou faʻaogaina e manaʻomia ai le faʻaeteete pulega e aloese ai mai le faʻaogaina o aʻafiaga [S1].

Mafua'aga

O le tulaga lamatia muamua e mafua mai i le natura otometi o meafaigaluega a le DAST, lea e su'esu'e ai talosaga ma uta e ono fa'aoso ai mata'upu i le fa'atatauga autu [S1]. E le gata i lea, o le tele o talosaga i luga o le upega tafaʻilagi e le mafai ona faʻaogaina faʻamautu faʻamautu, pei o ulutala HTTP faʻamaʻa lelei, e taua mo le puipuia mai faʻamataʻu masani i luga ole laiga [S2]. Meafaigaluega e pei o le Mozilla HTTP Observatory e faʻamaonia ai nei va e ala i le suʻesuʻeina o le tausisia o faiga faʻavae ma taʻiala [S2].

Mafai ona iloa

O tagata su'esu'e fa'apolofesa ma fa'alapotopotoga fa'apitoa e taula'i atu i le tele o fa'aaafiaga fa'aletonu vaega:

  • Osofaiga Tu'i: Su'esu'eina le tui SQL ma le tui ole XML Fafo (XXE) [S1].
  • Talosaga Fa'atonuga: Fa'ailoaina o Talosaga Fa'atauga i le Itu Tulaga (SSRF) ma le Talosaga Fa'asagaga i luga ole Tulaga (CSRF) [S1].
  • Access Control: Su'esu'e mo le Directory Traversal ma isi faatagaga e pasia [S1].
  • Su'esu'ega Fa'atonu: Su'esu'eina fa'auluuluga HTTP ma fa'atonuga saogalemu e fa'amautinoa ai le usita'ia o faiga fa'atino sili ona lelei [S2].

Fa'atonu Sima

  • Pre-Scan Authorization: Ia mautinoa o lo'o fa'atagaina uma su'ega otometi e le pule o le faiga e pulea ai le lamatiaga o le fa'aleagaina o le [S1].
  • Sauniuniga o le Si'osi'omaga: Toe fa'afo'i uma faiga fa'atatau a'o le'i fa'agasolo su'esu'ega fa'aletonu e fa'amautinoa le toe fa'aleleia pe a fa'aletonu [S1].
  • Fa'aulutala Fa'atinoga: Fa'aaogā meafaigaluega e pei o le Mozilla HTTP Observatory e su'e ai ma fa'atino fa'aulutala fa'apolopolo o lo'o misi e pei ole Faiga Fa'avae Saogalemu (CSP) ma le Strict-Transport-Security (HSTS) [S2].
  • Su'ega Fa'atulagaina: Fa'atino su'esu'ega fa'amalosi i totonu o si'osi'omaga tu'ufua po'o si'osi'omaga o atina'e nai lo le gaosiga e puipuia ai le a'afiaga o galuega [S1].

Fa'afefea ona su'e le FixVibe

O le FixVibe ua uma ona tu'u'ese'ese mai siaki fa'agaioiga-saogalemu mai su'esu'ega fa'agaoioi. O le pasive headers.security-headers module e maua ai le fa'auluuluga o le Observatory e aunoa ma le lafoina o uta. O su'esu'ega e sili atu ona maualuga e pei ole active.sqli, active.ssti, active.blind-ssrf, ma su'esu'ega fa'atatau e na'o le fa'ata'ita'iina o le pule o le fanua ma le fa'amaonia-amata fa'ata'ita'i, ma latou fa'aogaina uta fa'agata e le fa'aleagaina.