සැසි පැහැරගැනීම් වැළැක්වීම - සැසි පැහැරගැනීම

සැසි පැහැරගැනීම්: දොර විවෘත කරන කේතය සහ වින්‍යාස වැරදි

සැසි පැහැරගැනීම් ක්‍රියාත්මකයි: ප්‍රහාරකයින් ඔබේ සැසිය සොරකම් කරන ආකාරය

එය න්‍යායාත්මක නොවේ; එය සැබෑවටම සිදුවෙමින් පවතී. pipelines, ගොඩනැගීම් සහ බ්‍රව්සර් සැසි. ප්‍රහාරකයින් සැසි පැහැර ගැනීමක් සිදු කිරීම සඳහා විවිධ සැබෑ ලෝක උපක්‍රම භාවිතා කරයි, ඒවාට ඇතුළත් වන්නේ:

  • HTTP හරහා යවන ලද කුකීස් ආඝ්‍රාණය කිරීම (TLS නැත)
  • ප්‍රවේශ ටෝකන සොරකම් කිරීම හෝ JWTs ලොග් වල ගබඩා කර ඇත
  • යල් පැන ගිය පරීක්ෂණ පරිසරයන්ගෙන් ටෝකන හෝ කුකීස් නැවත භාවිතා කිරීම

⚠️අවවාදයයි: මෙම උදාහරණයෙන් අනාරක්ෂිත කුකී සම්ප්‍රේෂණයක් පෙන්වයි.

GET /dashboard HTTP/1.1 Host: vulnerable.app Cookie: sessionid=abc123 

HTTPS නොමැතිව, MITM ප්‍රහාරකයෙකුට සැසිය සොරකම් කර පරිශීලකයා ලෙස පෙනී සිටිය හැක.

 උදාහරණය: ලොග් වල නිරාවරණය වූ ටෝකනය

[INFO] Login succeeded - JWT: eyJhbGciOi... 

⚠️ටෝකන් ලොග් නොකරන්න; CI ලොග් වලට ප්‍රවේශය ඇති ප්‍රහාරකයින්ට සැසි පැහැර ගැනීමක් ක්ෂණිකව සිදු කළ හැක.

සැසි පැහැර ගැනීම සක්‍රීය කරන කේත මට්ටමේ අසාර්ථකත්වයන්

බොහෝ සැසි පැහැරගැනීම් ප්‍රහාර ආරම්භ වන්නේ සූරාකෑම් වලින් නොවේ; ඒවා ආරම්භ වන්නේ නරක කේතයකින්. දොර විවෘත කරන්නේ මෙන්න:

දෘඪ කේතනය කළ රහස්

const jwtSecret = 'mydevsecret';

⚠️දෘඪ කේතනය කරන ලද රහස් මඟින් ටෝකන් උත්පාදනය පුරෝකථනය කළ හැකිය.

කුකීස් වල ආරක්ෂිත කොඩි අතුරුදහන් වී ඇත

res.cookie('sessionid', token); 

⚠️නැත Http පමණයි, නොමැත සුරක්ෂිත, නොමැත එකම අඩවිය. ඒක සිදුවීමට බලා සිටින සැසි පැහැර ගැනීමක්.

ආරක්ෂිත අනුවාදය:

res.cookie('sessionid', token, { httpOnly: true, secure: true, sameSite: 'Strict' }); 

පරිසරයන් හරහා ටෝකන් නැවත භාවිතය

  • පරීක්ෂණ පරිසරයන් තුළ නිර්මාණය කරන ලද ටෝකන, වේදිකාගත කිරීමට හෝ නිෂ්පාදනයට පවා පිටපත් කරනු ලැබේ.
  • ටෝකන් සඳහා විෂය පථයක් හෝ පරිසර බැඳීමක් නොමැත.
  • සැසි කල් ඉකුත් නොවේ හෝ භ්‍රමණය නොවේ.

මෙම සියලු රටා සෘජුවම පැහැර ගැනීමට ඉඩ සලසයි.

CI/CD සහ Pipeline අවදානම වැඩි කරන හිඩැස්

CI/CD බොහෝ විට දේශීය කේතයේ සංවර්ධකයින්ට මග හැරෙන දේ වැඩි කරයි. Pipeline-සම්බන්ධ සැසි පැහැර ගැනීමේ දෛශිකවලට ඇතුළත් වන්නේ:

  • කාන්දු විය අවසරය ගොඩනැගීමේ ලොගවල ශීර්ෂයන්
  • ස්ථිතික සැසි යතුරු ගබඩා කර ඇත්තේ .env ගොනු commitGit වෙත යොමු කරන ලදී
  • අතර ටෝකනය නැවත භාවිතා කිරීම pipeline අදියර

 සැබෑ අවදානම: CI ලොගයේ මුද්‍රණය කර ඇති ටෝකනය

steps: - run: echo "Token: $LOGIN_TOKEN" 

⚠️සැසි ටෝකන කිසි විටෙකත් මුද්‍රණය කිරීම හෝ ප්‍රතිරාවය කිරීම නොකළ යුතුය.

අවදානම් සහිත .env හැසිරවීම

APP_KEY=base64:aLongHardcodedKeyHere= 

⚠️මෙම ගොනුව කාන්දු වුවහොත්, පසුගිය සැසි සියල්ල අවදානමට ලක් විය හැක.

සැසි පැහැර ගැනීම යෙදුමෙන් නතර නොවේ; එය හරහා ගමන් කරයි pipelines සහ පරිසරයන්.

සංවර්ධක කාර්ය ප්‍රවාහ තුළට ගොඩනගා ඇති සැසි පැහැරගැනීම් වැළැක්වීම

පැහැර ගැනීම නැවැත්වීමට, වැළැක්වීම සංවර්ධන හා බෙදාහැරීමේ වැඩ ප්‍රවාහයන්ට ඇතුළත් කළ යුතුය.

 වැළැක්වීමේ පිරික්සුම් ලැයිස්තුව:

  • සෑම විටම කුකී කොඩි සකසන්න: HttpOnly, Secure, සහ SameSite
  •  කිසි විටෙකත් ටෝකන හෝ සැසි හඳුනාගැනීම් ලොග් නොකරන්න
  • සියලුම පරිසර හරහා HTTPS භාවිතා කරන්න (දේශීය, වේදිකාගත කිරීම, නිෂ්පාදනය)
  • සැසි රහස් සහ යතුරු නිතිපතා කරකවන්න.
  • ටෝකන් ඉක්මනින් කල් ඉකුත් වන බවත් නැවත භාවිතා කළ නොහැකි බවත් සහතික කර ගන්න.
  • සේවාදායක ගුණාංගවලට සැසි බැඳ තබන්න (IP, පරිශීලක-නියෝජිත)
  • පරිසරයකට විෂය පථ ටෝකන (පරීක්ෂණයේදී ප්‍රොඩ් ටෝකන නැවත භාවිතා නොකරන්න)
  • නැවුම් කිරීමේ යාන්ත්‍රණ සහිත කෙටි කාලීන ප්‍රවේශ ටෝකන භාවිතා කරන්න.
  • මූලාශ්‍ර කේතයේ දෘඪ කේතනය කළ රහස් හෝ යතුරු වළක්වා ගන්න.
  • සැසියට අදාළ සියලු තර්ක වලංගු කරන්න CI/CD pipelines

ආරක්ෂිත CI උදාහරණය:

- name: Validate secrets run: | if grep -q 'APP_KEY=' .env; then echo "Unsafe APP_KEY found in .env!" && exit 1 fi 

සැසි පැහැරගැනීම් වැළැක්වීම යනු CI ඔබේ දෙවන ආරක්ෂක මාර්ගය බවට පත්විය යුතු බවයි.

දේශීය දෝෂයේ සිට සැපයුම් දාම තර්ජනය දක්වා: සයිජෙනි සමඟ වමට මාරුවීම

නරක කුකී වින්‍යාසයක් ලෙස ආරම්භ වන දෙයක් පරීක්ෂා නොකළහොත් සම්පූර්ණ බිඳීමක් දක්වා වර්ධනය විය හැකිය. මෙවලම් වැනි සයිජෙනි එය කළ හැකි කරන්න:

  • කේතයේ සිට නිෂ්පාදනය දක්වා සැසි ටෝකන් ප්‍රවාහය සොයා ගන්න
  • මූලාශ්‍රයේ නැතිවූ කුකී ගුණාංග හඳුනා ගන්න
  • රහස් සඳහා ස්කෑන් කරන්න .env, වින්‍යාස, හෝ ලොග
  • තෙවන පාර්ශවීය පැකේජවල අනාරක්ෂිත සැසි පිළිවෙත් නිරීක්ෂණය කරන්න

සැපයුම් දාමය හරහා දේශීය සැසි ගැටළු පැහැරගැනීමේ ප්‍රහාරක දෛශික බවට පත්වීම වැළැක්වීමට Xygeni උපකාරී වේ.

පැහැරගැනීමේ දොර වැසීම

ඔබ එය ක්‍රියාකාරීව වළක්වන්නේ නැත්නම්, ඔබ දොරක් විවෘතව තබයි. සෑම අනාරක්ෂිත කුකී ධජයක්, කාන්දු වූ ටෝකනයක් සහ යල් පැන ගිය සැසියක්ම ප්‍රහාරකයින් සඳහා අඩිතාලමකි.

සැසි පැහැරගැනීම් වැළැක්වීම ඔබේ කේත පදනමට ඇතුළත් කරන්න සහ CI/CD. පරිසරයන් හරහා සැසි ප්‍රවාහ නිරීක්ෂණය කරන්න. නිෂ්පාදනයට ළඟා වීමට පෙර වමට මාරු කර සැසි පැහැර ගැනීමේ මාර්ග නැවැත්වීමට Xygeni වැනි මෙවලම් භාවිතා කරන්න. සැසිය සුරක්ෂිත කරන්න, නැතිනම් ප්‍රහාරකයින් එය ඔබට එරෙහිව භාවිතා කරනු ඇත.

sca-මෙවලම්-මෘදුකාංග-සංයුතිය-විශ්ලේෂණ-මෙවලම්
ඔබේ මෘදුකාංග අවදානම් ප්‍රමුඛතාවය දෙන්න, නිවැරදි කරන්න සහ සුරක්ෂිත කරන්න
ඔබගේ නොමිලේ ගිණුම ලබා ගන්න.
කිසිදු ක්රෙඩිට් කාඩ්පතක් අවශ්ය නොවේ.

ඔබේ මෘදුකාංග සංවර්ධනය සහ බෙදා හැරීම සුරක්ෂිත කරන්න

Xygeni නිෂ්පාදන කට්ටලය සමඟ