FixVibe
Covered by FixVibemedium

Загалоўкі бяспекі HTTP: укараненне CSP і HSTS для абароны на баку браўзера

У гэтым даследаванні разглядаецца важная роля загалоўкаў бяспекі HTTP, у прыватнасці Палітыкі бяспекі змесціва (CSP) і строгай бяспекі транспарту HTTP (HSTS), у абароне вэб-праграм ад распаўсюджаных уразлівасцей, такіх як міжсайтавы сцэнарый (XSS) і напады на паніжэнне версіі пратаколу.

CWE-1021CWE-79CWE-319

Роля загалоўкаў бяспекі

Загалоўкі бяспекі HTTP забяспечваюць стандартызаваны механізм для вэб-праграм, каб інструктаваць браўзеры выконваць пэўныя палітыкі бяспекі падчас сеансу [S1] [S2]. Гэтыя загалоўкі дзейнічаюць як найважнейшы ўзровень паглыбленай абароны, зніжаючы рызыкі, якія могуць быць не ў поўнай меры вырашаны адной толькі логікай прыкладання.

Палітыка бяспекі кантэнту (CSP)

Палітыка бяспекі змесціва (CSP) - гэта ўзровень бяспекі, які дапамагае выяўляць і змякчаць пэўныя тыпы нападаў, у тым ліку міжсайтавы сцэнарый (XSS) і атакі ўкаранення даных [S1]. Вызначаючы палітыку, якая вызначае, якім дынамічным рэсурсам дазволена загружаць, CSP прадухіляе выкананне браўзерам шкоднасных сцэнарыяў, уведзеных зламыснікам [S1]. Гэта эфектыўна абмяжоўвае выкананне несанкцыянаванага кода, нават калі ў дадатку існуе ўразлівасць ін'екцыі.

Строгая транспартная бяспека HTTP (HSTS)

Строгая транспартная бяспека HTTP (HSTS) - гэта механізм, які дазваляе вэб-сайту інфармаваць браўзеры, што доступ да яго павінен ажыццяўляцца толькі з дапамогай HTTPS, а не HTTP [S2]. Гэта абараняе ад атак паніжэння версіі пратакола і захопу файлаў cookie, гарантуючы, што ўся сувязь паміж кліентам і серверам зашыфравана [S2]. Як толькі браўзер атрымае гэты загаловак, ён аўтаматычна пераўтворыць усе наступныя спробы доступу да сайта праз HTTP у запыты HTTPS.

Наступствы для бяспекі адсутных загалоўкаў

Праграмы, якія не рэалізуюць гэтыя загалоўкі, падвяргаюцца значна большай рызыцы ўзлому на баку кліента. Адсутнасць Палітыкі бяспекі змесціва дазваляе выконваць несанкцыянаваныя скрыпты, што можа прывесці да захопу сеанса, несанкцыянаванага крадзяжу даных або пашкоджання [S1]. Падобным чынам адсутнасць загалоўка HSTS робіць карыстальнікаў успрымальнымі да нападаў чалавека пасярэдзіне (MITM), асабліва на этапе пачатковага злучэння, калі зламыснік можа перахапіць трафік і перанакіраваць карыстальніка на шкоднасную або незашыфраваную версію сайта [S2].

Як FixVibe правярае гэта

FixVibe ужо ўключае гэта як праверку пасіўнага сканавання. headers.security-headers правярае агульнадаступныя метаданыя адказу HTTP на наяўнасць і трываласць Content-Security-Policy, Strict-Transport-Security, X-Frame-Options або frame-ancestors, X-Content-Type-Options, Referrer-Policy і Permissions-Policy. Ён паведамляе аб адсутных або слабых значэннях без зондаў эксплойтаў, а яго падказка аб выпраўленні дае прыклады гатовых да разгортвання загалоўкаў для звычайных налад праграм і CDN.

Кіраўніцтва па выпраўленні

Каб палепшыць стан бяспекі, вэб-серверы павінны быць настроены на вяртанне гэтых загалоўкаў на ўсіх вытворчых маршрутах. Надзейны CSP павінен быць адаптаваны да канкрэтных патрабаванняў да рэсурсаў прыкладання з выкарыстаннем такіх дырэктываў, як script-src і object-src, каб абмежаваць асяроддзе выканання сцэнарыяў [S1]. Для бяспекі транспарту загаловак Strict-Transport-Security павінен быць уключаны з дапамогай адпаведнай дырэктывы max-age для забеспячэння пастаяннай абароны ў сеансах карыстальнікаў [S2].