FixVibe
Covered by FixVibemedium

HTTP Təhlükəsizlik Başlıqları: Brauzer Tərəfindən Müdafiə üçün CSP və HSTS tətbiq edilir

Bu tədqiqat HTTP təhlükəsizlik başlıqlarının, xüsusən Məzmun Təhlükəsizliyi Siyasəti (CSP) və HTTP Ciddi Nəqliyyat Təhlükəsizliyi (HSTS) veb proqramlarını Saytlararası Skript (ZXCVFIXVIBETOKEN2ZXVEN0) və aşağı səviyyəli hücumlar kimi ümumi zəifliklərdən qorumaqda kritik rolunu araşdırır.

CWE-1021CWE-79CWE-319

Təhlükəsizlik Başlıqlarının Rolu

HTTP təhlükəsizlik başlıqları [S1] [S2] sessiyası zamanı brauzerlərə xüsusi təhlükəsizlik siyasətlərini tətbiq etməyi təlimatlandırmaq üçün veb tətbiqləri üçün standartlaşdırılmış mexanizm təmin edir. Bu başlıqlar tək tətbiq məntiqi ilə tam həll edilə bilməyən riskləri azaldan, dərindən müdafiənin kritik təbəqəsi kimi çıxış edir.

Məzmun Təhlükəsizliyi Siyasəti (CSP)

Məzmun Təhlükəsizliyi Siyasəti (CSP) saytlararası skript (XSS) və məlumat inyeksiya hücumları [S1] daxil olmaqla, müəyyən hücum növlərini aşkar etməyə və azaltmağa kömək edən təhlükəsizlik təbəqəsidir. Hansı dinamik resursların yüklənməsinə icazə verilən siyasəti müəyyən etməklə, CSP brauzerin [S1] təcavüzkarı tərəfindən yeridilmiş zərərli skriptləri icra etməsinin qarşısını alır. Bu, tətbiqdə inyeksiya zəifliyi mövcud olsa belə, icazəsiz kodun icrasını effektiv şəkildə məhdudlaşdırır.

HTTP Ciddi Nəqliyyat Təhlükəsizliyi (HSTS)

HTTP Ciddi Nəqliyyat Təhlükəsizliyi (HSTS) veb-sayta brauzerlərə HTTP [S2] deyil, yalnız HTTPS vasitəsilə daxil olmaq lazım olduğu barədə məlumat verməyə imkan verən mexanizmdir. Bu, müştəri ilə server arasındakı bütün rabitənin [S2] şifrələnməsini təmin etməklə protokolun aşağı salınması hücumlarından və kuki oğurlanmasından qoruyur. Brauzer bu başlığı qəbul etdikdən sonra o, HTTP vasitəsilə sayta daxil olmaq üçün bütün sonrakı cəhdləri avtomatik olaraq HTTPS sorğularına çevirəcək.

Çatışmayan Başlıqların Təhlükəsizlik Təsirləri

Bu başlıqları həyata keçirə bilməyən tətbiqlər müştəri tərəfində kompromis riski əhəmiyyətli dərəcədə yüksəkdir. Məzmun Təhlükəsizliyi Siyasətinin olmaması icazəsiz skriptlərin icrasına imkan verir ki, bu da sessiyanın oğurlanmasına, məlumatların icazəsiz çıxarılmasına və ya [S1]-nin pozulmasına səbəb ola bilər. Eynilə, HSTS başlığının olmaması istifadəçiləri, xüsusən də təcavüzkarın trafikə müdaxilə edə və istifadəçini ZXCVFIXVIBETOKEN1XC saytının zərərli və ya şifrələnməmiş versiyasına yönləndirə biləcəyi ilkin qoşulma mərhələsində istifadəçiləri ortada adam (MITM) hücumlarına həssas edir.

FixVibe bunu necə sınaqdan keçirir

FixVibe artıq bunu passiv skan yoxlaması kimi ehtiva edir. headers.security-headers ictimai HTTP cavab metadatasını Content-Security-Policy, Strict-Transport-Security, X-Frame-Options və ya ZXCVFIXVIBETOKEN4ZOKBXVXVX, ZXCVFIXVIBETOKEN4ZOKBXVCVXVXVCV, Content-Security-Policy, varlığı və gücü üçün yoxlayır. Referrer-PolicyPermissions-Policy. İstismar zondları olmadan çatışmayan və ya zəif dəyərləri bildirir və onun düzəliş əmri ümumi proqramlar və CDN quraşdırmaları üçün yerləşdirməyə hazır başlıq nümunələri verir.

Təmir üçün Rəhbərlik

Təhlükəsizlik vəziyyətini yaxşılaşdırmaq üçün veb serverləri bütün istehsal marşrutlarında bu başlıqları qaytarmaq üçün konfiqurasiya edilməlidir. Güclü CSP, ZXCVFIXVIBETOKEN4ZXC skript icra mühitlərini məhdudlaşdırmaq üçün script-srcobject-src kimi direktivlərdən istifadə edərək proqramın xüsusi resurs tələblərinə uyğunlaşdırılmalıdır. Nəqliyyat təhlükəsizliyi üçün Strict-Transport-Security başlığı [S2] istifadəçi sessiyaları arasında davamlı mühafizəni təmin etmək üçün müvafiq max-age direktivi ilə aktivləşdirilməlidir.