FixVibe
Covered by FixVibehigh

API Kalit qochqinligi: Zamonaviy veb-ilovalarda xavf va tuzatish

Frontend kodlari yoki omborlar tarixidagi qattiq kodlangan sirlar tajovuzkorlarga xizmatlar nomini o'zgartirish, shaxsiy ma'lumotlarga kirish va xarajatlarni qoplash imkonini beradi. Ushbu maqola maxfiy oqish xavfini va tozalash va oldini olish uchun zarur choralarni o'z ichiga oladi.

CWE-798

Ta'sir

API kalitlari, tokenlar yoki hisobga olish maʼlumotlari kabi sirlarning oshkor etilishi maxfiy maʼlumotlarga ruxsatsiz kirishga, xizmatga taqlid qilishga va [S1] resursdan suiisteʼmol qilish oqibatida katta moliyaviy yoʻqotishlarga olib kelishi mumkin. Sir ommaviy omborga topshirilsa yoki frontend ilovasiga biriktirilsa, u [S1] buzilgan deb hisoblanishi kerak.

Asosiy sabab

Buning asosiy sababi, keyinchalik versiyani boshqarishga topshiriladigan yoki [S1] mijoziga xizmat ko'rsatadigan dastlabki kod yoki konfiguratsiya fayllariga bevosita maxfiy hisob ma'lumotlarining kiritilishidir. Ishlab chiquvchilar ko'pincha ishlab chiqish paytida qulaylik uchun kalitlarni qattiq kodlaydilar yoki tasodifan .env fayllarini [S1] majburiyatlariga kiritadilar.

Beton tuzatishlar

  • Buzilgan sirlarni aylantirish: Agar sir oshkor qilinsa, uni darhol bekor qilish va almashtirish kerak. Kodning joriy versiyasidan sirni shunchaki olib tashlashning o'zi etarli emas, chunki u [S1][S2] versiyani boshqarish tarixida qoladi.
  • Atrof-muhit oʻzgaruvchilaridan foydalaning: Sirlarni qattiq kodlashdan koʻra atrof-muhit oʻzgaruvchilarida saqlang. .env fayllari .gitignore ga [S1] tasodifiy topshiriqlarini oldini olish uchun qo‘shilganligiga ishonch hosil qiling.
  • Maxfiy boshqaruvni amalga oshirish: [S1] ish vaqtida ilova muhitiga hisobga olish maʼlumotlarini kiritish uchun maxsus maxfiy boshqaruv vositalari yoki ombor xizmatlaridan foydalaning.
  • Repository tarixini tozalash: Agar Git-ga maxfiy maʼlumotlar berilgan boʻlsa, ZXCVFIXVIBETOKEN1Z ombori tarixidagi barcha boʻlimlar va teglardan maxfiy maʼlumotlarni butunlay oʻchirish uchun git-filter-repo yoki BFG Repo-Cleaner kabi vositalardan foydalaning.

FixVibe buni qanday sinovdan o'tkazadi

FixVibe endi buni jonli skanerlashda oʻz ichiga oladi. Passiv secrets.js-bundle-sweep bir xil asl JavaScript toʻplamlarini yuklab oladi va maʼlum API kalit, token va hisobga olish maʼlumotlari namunalariga entropiya va toʻldiruvchi eshiklar bilan mos keladi. Tegishli jonli tekshiruvlar brauzer xotirasi, manba xaritalari, autentifikatsiya va BaaS mijoz paketlari va GitHub repo manba namunalarini tekshiradi. Git tarixini qayta yozish tuzatish bosqichi bo'lib qoladi; FixVibe jonli efiri jo‘natilgan aktivlar, brauzer xotirasi va joriy repo tarkibidagi sirlarga qaratilgan.