FixVibe
Covered by FixVibemedium

Next.js Howpsuzlyk sözbaşy indiki.config.js sahypasynda ýalňyş konfigurasiýa

Sözbaşy dolandyrmak üçin next.config.js ulanýan Next.js programmalary, ýol gabat gelýän nagyşlar nädogry bolsa, howpsuzlyk boşlugyna sezewar bolup biler. Bu gözleg, kartoçka we regex ýalňyş konfigurasiýalarynyň duýgur ugurlarda howpsuzlyk sözbaşylarynyň ýitmegine we konfigurasiýany nädip gatylaşdyrmalydygyny öwrenýär.

CWE-1021CWE-200

Täsir

Ingitirilen howpsuzlyk sözbaşylary basmak, saýtdan skript (XSS) ýerine ýetirmek ýa-da [S2] serwer gurşawy barada maglumat ýygnamak üçin ulanylyp bilner. Content-Security-Policy (CSP) ýa-da X-Frame-Options ýaly sözbaşylar marşrutlarda biri-birine gabat gelmeýän bolsa, hüjümçiler saýt giňişligindäki howpsuzlyk gözegçiliklerinden aýlanyp geçmek üçin belli bir goralmadyk ýollary nyşana alyp bilerler ZXCVFIXVI

Kök sebäp

Next.js döredijilere headers emläk headers jogap sözbaşylaryny headers ulanyp düzmäge mümkinçilik berýär. Bu konfigurasiýa, kartoçkalary we [S2] yzygiderli aňlatmalary goldaýan ýol gabat gelýär. Howpsuzlyk gowşaklyklary adatça aşakdakylardan ýüze çykýar: 1.

  • Maglumatyň aýan edilmegi : Düzgüne görä, Next.js X-Powered-By sözbaşysyny öz içine alyp biler, poweredByHeader konfigurasiýasy ZXCVFIXVIBETOKEN2Z.

D. **

Beton düzedişler

. .

  • CORS çäklendiriň: headers konfigurasiýasy headers konfigurasiýasyndaky kartoçkalara däl-de, belli bir ygtybarly domenlere düzüň.

FixVibe munuň üçin nädip synag edýär

FixVibe programmany gözden geçirmek we dürli ugurlaryň howpsuzlyk sözbaşylaryny deňeşdirmek arkaly işjeň derwezeli gözleg geçirip biler. X-Powered-By sözbaşysyny we dürli ýol çuňlugynda Content-Security-Policy yzygiderliligini seljermek bilen, FixVibe next.config.js-de konfigurasiýa boşluklaryny kesgitläp biler.