FixVibe
Covered by FixVibemedium

Onvoldoende sekuriteitskopkonfigurasie

Webtoepassings slaag dikwels nie daarin om noodsaaklike sekuriteitsopskrifte te implementeer nie, en laat gebruikers blootgestel word aan kruis-werf scripting (XSS), clickjacking en data-inspuiting. Deur gevestigde websekuriteitsriglyne te volg en ouditnutsmiddels soos die MDN Observatory te gebruik, kan ontwikkelaars hul toepassings aansienlik verhard teen algemene blaaier-gebaseerde aanvalle.

CWE-693

impak

Die afwesigheid van sekuriteitsopskrifte stel aanvallers in staat om clickjacking uit te voer, sessiekoekies te steel, of cross-site scripting (XSS) [S1] uit te voer. Sonder hierdie instruksies kan blaaiers nie sekuriteitsgrense afdwing nie, wat lei tot potensiële data-eksfiltrasie en ongemagtigde gebruikeraksies [S2].

Oorsaak

Die probleem spruit uit 'n versuim om webbedieners of toepassingsraamwerke op te stel om standaard HTTP-sekuriteitsopskrifte in te sluit. Terwyl ontwikkeling dikwels funksionele HTML en CSS [S1] prioritiseer, word sekuriteitkonfigurasies gereeld weggelaat. Ouditnutsmiddels soos die MDN Observatory is ontwerp om hierdie ontbrekende verdedigingslae op te spoor en te verseker dat die interaksie tussen die blaaier en bediener veilig is [S2].

Tegniese Besonderhede

Sekuriteitsopskrifte voorsien die blaaier van spesifieke sekuriteitsvoorskrifte om algemene kwesbaarhede te versag:

  • Inhoudsekuriteitsbeleid (CSP): Beheer watter hulpbronne gelaai kan word, wat ongemagtigde skrifuitvoering en data-inspuiting voorkom [S1].
  • Streng-Vervoer-Sekuriteit (HSTS): Verseker dat die blaaier slegs oor veilige HTTPS-verbindings kommunikeer [S2].
  • X-Frame-opsies: Verhoed dat die toepassing in 'n iframe gelewer word, wat 'n primêre verdediging is teen clickjacking [S1].
  • X-Content-Type-Options: Verhoed dat die blaaier lêers as 'n ander MIME-tipe interpreteer as wat gespesifiseer is, en stop MIME-snuif aanvalle [S2].

Hoe FixVibe daarvoor toets

FixVibe kon dit opspoor deur die HTTP-reaksie-opskrifte van 'n webtoepassing te ontleed. Deur die resultate te vergelyk met die MDN Observatory-standaarde [S2], kan FixVibe ontbrekende of verkeerd gekonfigureerde opskrifte soos CSP, HSTS en X-Frame-Options vlag.

Maak reg

Dateer die webbediener (bv. Nginx, Apache) of toepassingmiddelware op om die volgende opskrifte by alle antwoorde in te sluit as deel van 'n standaard sekuriteitsposisie [S1]:

  • Inhoud-Sekuriteit-beleid: Beperk hulpbronbronne tot vertroude domeine.
  • Streng-Vervoer-Sekuriteit: Dwing HTTPS af met 'n lang max-age.
  • X-Content-Type-Options: Stel op nosniff [S2].
  • X-Frame-Opsies: Stel op DENY of SAMEORIGIN om te verhoed dat die klik gekap word [S1].