Täsir
Hüjümçiler, Sahypa skriptini (XSS) ýerine ýetirmek, basmak we orta aralykda hüjüm etmek üçin howpsuzlyk sözbaşylarynyň ýoklugyndan peýdalanyp bilerler [S1][S3]. Bu goraglar bolmazdan, duýgur ulanyjy maglumatlary siňdirilip bilner we [S3] brauzer gurşawyna girizilen zyýanly skriptler bilen programmanyň bitewiligine zeper ýetip biler.
Kök sebäp
AI bilen dolandyrylýan ösüş gurallary köplenç howpsuzlyk konfigurasiýalaryndan funksional kody ileri tutýarlar. Netijede, köp AI döredilen şablonlar, häzirki zaman brauzerleriniň gorag çuňlugy [S1] üçin bil baglaýan möhüm HTTP jogap sözbaşylaryny aýyrýar. Mundan başga-da, ösüş döwründe toplumlaýyn dinamiki amaly howpsuzlyk synagynyň (DAST) ýoklugy, [S2] ýerleşdirilmezden ozal bu konfigurasiýa boşluklarynyň seýrek kesgitlenýändigini aňladýar.
Beton düzedişler
1.
- Awtomatlaşdyrylan baha bermek : [S1] ýokary howpsuzlyk ýagdaýyny saklamak üçin sözbaşynyň barlygyna we güýjüne esaslanýan howpsuzlyk skorini üpjün edýän gurallary ulanyň.
- Üznüksiz skaner : Programmanyň hüjüm ýüzüne [S2] görünmegini üpjün etmek üçin awtomatiki gowşak goralan skanerleri CI / CD turbageçirijisine birleşdiriň.
FixVibe munuň üçin nädip synag edýär
FixVibe muny passiw headers.security-headers skaner moduly arkaly eýýäm ýapýar. Adaty passiw gözden geçirilende, FixVibe brauzer ýaly nyşany alýar we CSP, HSTS, X-çarçuwaly opsiýalar, X-mazmun-görnüş-syýasatlar, salgylanmalar. Şeýle hem, modul gowşak CSP skript çeşmelerini belleýär we JSON, 204-de ýalňyş pozitiwlerden, diňe resminama sözbaşylary ulanylmaýan ýalňyş gönükdirmelerden we ýalňyş jogaplardan gaça durýar.