FixVibe
Covered by FixVibemedium

Qeyri-adekvat Təhlükəsizlik Başlıq Konfiqurasiyası

Veb proqramları tez-tez əsas təhlükəsizlik başlıqlarını həyata keçirə bilmir, bu da istifadəçiləri saytlararası skriptlərə (XSS), klikləmə və məlumatların inyeksiyasına məruz qoyur. Müəyyən edilmiş veb təhlükəsizlik qaydalarına əməl etməklə və MDN Rəsədxanası kimi audit alətlərindən istifadə etməklə tərtibatçılar ümumi brauzer əsaslı hücumlara qarşı tətbiqlərini əhəmiyyətli dərəcədə sərtləşdirə bilərlər.

CWE-693

Təsir

Təhlükəsizlik başlıqlarının olmaması təcavüzkarlara klikləmə, sessiya kukilərini oğurlamağa və ya saytlararası skript (XSS) [S1] icra etməyə imkan verir. Bu təlimatlar olmadan brauzerlər təhlükəsizlik sərhədlərini tətbiq edə bilməz, bu da potensial məlumatların sızmasına və icazəsiz istifadəçi hərəkətlərinə səbəb olur [S2].

Kök Səbəb

Problem standart HTTP təhlükəsizlik başlıqlarını daxil etmək üçün veb serverlərin və ya proqram çərçivələrinin konfiqurasiya edilməməsindən qaynaqlanır. İnkişaf tez-tez funksional HTML və CSS [S1]-yə üstünlük versə də, təhlükəsizlik konfiqurasiyaları tez-tez buraxılır. MDN Rəsədxanası kimi audit alətləri bu çatışmayan müdafiə qatlarını aşkar etmək və brauzerlə server arasında qarşılıqlı əlaqənin təhlükəsiz olmasını təmin etmək üçün nəzərdə tutulmuşdur [S2].

Texniki Detallar

Təhlükəsizlik başlıqları ümumi zəiflikləri azaltmaq üçün brauzeri xüsusi təhlükəsizlik direktivləri ilə təmin edir:

  • Məzmun Təhlükəsizliyi Siyasəti (CSP): İcazəsiz skript icrasının və məlumat inyeksiyasının qarşısını alan [S1] hansı resursların yüklənə biləcəyinə nəzarət edir.
  • Strict-Nəqliyyat-Təhlükəsizlik (HSTS): Brauzerin yalnız [S2] təhlükəsiz HTTPS bağlantıları üzərindən əlaqə saxlamasını təmin edir.
  • X-Frame-Options: Tətbiqin iframe-də göstərilməsinin qarşısını alır, bu [S1] kliklənməsinə qarşı əsas müdafiədir.
  • X-Content-Type-Options: Brauzerin faylları qeyd olunandan fərqli MIME növü kimi şərh etməsinə mane olur, [S2] MIME-iyləmə hücumlarını dayandırır.

FixVibe bunu necə sınaqdan keçirir

FixVibe bunu veb tətbiqinin HTTP cavab başlıqlarını təhlil etməklə aşkar edə bilər. Nəticələri MDN Rəsədxanası standartları ilə müqayisə etməklə [S2], FixVibe CSP, ZXCVFIXVIBETOKEN4ZXFra və X-Options- kimi çatışmayan və ya yanlış konfiqurasiya edilmiş başlıqları qeyd edə bilər.

Düzəlt

[S1] standart təhlükəsizlik duruşunun bir hissəsi kimi bütün cavablara aşağıdakı başlıqları daxil etmək üçün veb serverini (məsələn, Nginx, Apache) və ya proqram ara proqramını yeniləyin:

  • Məzmun-Təhlükəsizlik-Siyasəti: Resurs mənbələrini etibarlı domenlərlə məhdudlaşdırın.
  • Ciddi Nəqliyyat-Təhlükəsizlik: Uzun max-age ilə HTTPS-i tətbiq edin.
  • X-Məzmun Tipi Seçimləri: nosniff [S2] olaraq təyin edin.
  • X-Frame-Options: [S1] kliklənməsinin qarşısını almaq üçün DENY və ya SAMEORIGIN olaraq təyin edin.