FixVibe
Covered by FixVibemedium

Неадекватна конфигурация на хедъра за сигурност

Уеб приложенията често не успяват да внедрят основни заглавки за сигурност, оставяйки потребителите изложени на междусайтови скриптове (XSS), щракване и инжектиране на данни. Следвайки установените насоки за уеб сигурност и използвайки инструменти за одит като MDN Observatory, разработчиците могат значително да втвърдят своите приложения срещу обичайните атаки, базирани на браузър.

CWE-693

Въздействие

Липсата на заглавки за сигурност позволява на атакуващите да извършват кликджекинг, да крадат сесийни бисквитки или да изпълняват междусайтови скриптове (XSS) [S1]. Без тези инструкции браузърите не могат да наложат граници на сигурността, което води до потенциално кражба на данни и неоторизирани потребителски действия [S2].

Първопричина

Проблемът произтича от грешка при конфигуриране на уеб сървъри или рамки на приложения, за да включват стандартни заглавки за защита на HTTP. Въпреки че разработката често дава приоритет на функционалния HTML и CSS [S1], конфигурациите за сигурност често се пропускат. Инструментите за одит като MDN Observatory са предназначени да откриват тези липсващи защитни слоеве и да гарантират, че взаимодействието между браузъра и сървъра е защитено [S2].

Технически подробности

Заглавките за сигурност предоставят на браузъра специфични директиви за сигурност за смекчаване на често срещаните уязвимости:

  • Правила за сигурност на съдържанието (CSP): Контролира кои ресурси могат да бъдат заредени, предотвратявайки неоторизирано изпълнение на скрипт и инжектиране на данни [S1].
  • Строга транспортна сигурност (HSTS): Гарантира, че браузърът комуникира само през защитени HTTPS връзки [S2].
  • X-Frame-Options: Предотвратява изобразяването на приложението във вградена рамка, което е основна защита срещу щракване [S1].
  • X-Content-Type-Options: Предотвратява браузъра да интерпретира файлове като MIME тип, различен от посочения, спирайки MIME-снифинг атаки [S2].

Как FixVibe го тества

FixVibe може да открие това чрез анализиране на заглавките на HTTP отговора на уеб приложение. Чрез сравняване на резултатите със стандартите на MDN Observatory [S2], FixVibe може да маркира липсващи или неправилно конфигурирани заглавки като CSP, HSTS и X-Frame-Options.

Поправете

Актуализирайте уеб сървъра (напр. Nginx, Apache) или мидълуера на приложението, за да включите следните заглавки във всички отговори като част от стандартна позиция за сигурност [S1]:

  • Content-Security-Policy: Ограничете източниците на ресурси до доверени домейни.
  • Strict-Transport-Security: Налагайте HTTPS с дълъг max-age.
  • X-Content-Type-Options: Задайте nosniff [S2].
  • X-Frame-Options: Задайте на DENY или SAMEORIGIN, за да предотвратите щракване [S1].