FixVibe
Covered by FixVibemedium

Недастатковая канфігурацыя загалоўка бяспекі

Вэб-праграмы часта не могуць рэалізаваць асноўныя загалоўкі бяспекі, у выніку чаго карыстальнікі падвяргаюцца міжсайтавым сцэнарыям (XSS), джэкінгу клікаў і ўвядзенню даных. Прытрымліваючыся ўстаноўленых рэкамендацый па бяспецы ў сетцы і выкарыстоўваючы інструменты аўдыту, такія як MDN Observatory, распрацоўшчыкі могуць значна ўмацаваць свае прыкладанні супраць распаўсюджаных нападаў на аснове браўзера.

CWE-693

Уплыў

Адсутнасць загалоўкаў бяспекі дазваляе зламыснікам выконваць клікджэкінг, красці сеансавыя файлы cookie або выконваць міжсайтавы сцэнар (XSS) [S1]. Без гэтых інструкцый браўзеры не могуць забяспечыць захаванне межаў бяспекі, што вядзе да патэнцыйнай крадзяжу даных і несанкцыянаваных дзеянняў карыстальніка [S2].

Першапрычына

Праблема ўзнікае з-за збою ў канфігурацыі вэб-сервераў або інфраструктуры прыкладанняў для ўключэння стандартных загалоўкаў бяспекі HTTP. Нягледзячы на ​​тое, што пры распрацоўцы часта прыярытэтам даецца функцыянальны HTML і CSS [S1], канфігурацыі бяспекі часта апускаюцца. Такія інструменты аўдыту, як MDN Observatory, прызначаны для выяўлення гэтых адсутных абарончых узроўняў і забеспячэння бяспекі ўзаемадзеяння паміж браўзерам і серверам [S2].

Тэхнічныя дэталі

Загалоўкі бяспекі прадастаўляюць браўзеру спецыяльныя інструкцыі па бяспецы, каб паменшыць агульныя ўразлівасці:

  • Палітыка бяспекі змесціва (CSP): Кантралюе, якія рэсурсы можна загрузіць, прадухіляючы несанкцыянаванае выкананне сцэнарыя і ўвядзенне даных [S1].
  • Строгая транспартная бяспека (HSTS): гарантуе, што браўзер абменьваецца інфармацыяй толькі праз бяспечныя злучэнні HTTPS [S2].
  • X-Frame-Options: прадухіляе рэндэрынг прыкладання ў iframe, што з'яўляецца асноўнай абаронай ад клікджэкінгу [S1].
  • X-Content-Type-Options: Забараняе браўзеру інтэрпрэтаваць файлы як тып MIME, які адрозніваецца ад указанага, спыняючы атакі нюхання MIME [S2].

Як FixVibe правярае гэта

FixVibe можа выявіць гэта, прааналізаваўшы загалоўкі HTTP-адказу вэб-праграмы. Параўноўваючы вынікі са стандартамі абсерваторыі MDN [S2], FixVibe можа адзначаць адсутныя або няправільна настроеныя загалоўкі, такія як CSP, HSTS і X-Frame-Options.

Выправіць

Абнавіце вэб-сервер (напрыклад, Nginx, Apache) або прамежкавае праграмнае забеспячэнне прыкладання, каб уключаць наступныя загалоўкі ва ўсе адказы ў рамках стандартнай пазіцыі бяспекі [S1]:

  • Content-Security-Policy: Абмежаваць крыніцы рэсурсаў даверанымі даменамі.
  • Strict-Transport-Security: прымусовае захаванне HTTPS з дапамогай доўгага max-age.
  • X-Content-Type-Options: усталюйце nosniff [S2].
  • X-Frame-Options: усталюйце DENY або SAMEORIGIN, каб прадухіліць клікджэкінг [S1].