FixVibe
Covered by FixVibemedium

HTTP নিরাপত্তা শিরোনাম: ব্রাউজার-সাইড প্রতিরক্ষার জন্য CSP এবং HSTS বাস্তবায়ন করা হচ্ছে

এই গবেষণাটি ক্রস-সাইট স্ক্রিপ্টিংয়ের মতো সাধারণ দুর্বলতা থেকে ওয়েব অ্যাপ্লিকেশনগুলিকে রক্ষা করার জন্য বিশেষ করে সামগ্রী সুরক্ষা নীতি (CSP) এবং HTTP কঠোর পরিবহন নিরাপত্তা (HSTS) এর গুরুত্বপূর্ণ ভূমিকা অন্বেষণ করে। আক্রমণ

CWE-1021CWE-79CWE-319

নিরাপত্তা হেডারের ভূমিকা

HTTP নিরাপত্তা শিরোনামগুলি একটি সেশন [S1] [S2] সময় নির্দিষ্ট নিরাপত্তা নীতি প্রয়োগ করার জন্য ব্রাউজারকে নির্দেশ দেওয়ার জন্য ওয়েব অ্যাপ্লিকেশনগুলির জন্য একটি প্রমিত পদ্ধতি প্রদান করে। এই শিরোনামগুলি প্রতিরক্ষা-গভীরতার একটি গুরুত্বপূর্ণ স্তর হিসাবে কাজ করে, ঝুঁকিগুলি হ্রাস করে যা শুধুমাত্র প্রয়োগের যুক্তি দ্বারা সম্পূর্ণরূপে সমাধান করা যায় না।

সামগ্রী নিরাপত্তা নীতি (CSP)

বিষয়বস্তু নিরাপত্তা নীতি (CSP) হল একটি নিরাপত্তা স্তর যা ক্রস-সাইট স্ক্রিপ্টিং (XSS) এবং ডেটা ইনজেকশন আক্রমণ [S1] সহ নির্দিষ্ট ধরণের আক্রমণ সনাক্ত এবং প্রশমিত করতে সহায়তা করে। কোন গতিশীল সংস্থানগুলিকে লোড করার অনুমতি দেওয়া হয় তা নির্দিষ্ট করে এমন একটি নীতি নির্ধারণ করে, CSP ব্রাউজারকে আক্রমণকারী [S1] দ্বারা ইনজেকশন করা দূষিত স্ক্রিপ্টগুলি সম্পাদন করতে বাধা দেয়৷ এটি কার্যকরভাবে অননুমোদিত কোডের সম্পাদনকে সীমাবদ্ধ করে এমনকি যদি অ্যাপ্লিকেশনটিতে একটি ইনজেকশন দুর্বলতা বিদ্যমান থাকে।

HTTP কঠোর পরিবহন নিরাপত্তা (HSTS)

এইচটিটিপি স্ট্রিক্ট ট্রান্সপোর্ট সিকিউরিটি (HSTS) হল একটি মেকানিজম যা একটি ওয়েবসাইটকে ব্রাউজারকে জানাতে দেয় যে এটি HTTP [S2] এর পরিবর্তে শুধুমাত্র HTTPS ব্যবহার করে অ্যাক্সেস করা উচিত। এটি ক্লায়েন্ট এবং সার্ভারের মধ্যে সমস্ত যোগাযোগ [S2] এনক্রিপ্ট করা হয়েছে তা নিশ্চিত করে প্রোটোকল ডাউনগ্রেড আক্রমণ এবং কুকি হাইজ্যাকিং থেকে রক্ষা করে৷ একবার একটি ব্রাউজার এই শিরোনামটি গ্রহণ করলে, এটি স্বয়ংক্রিয়ভাবে HTTP এর মাধ্যমে সাইটটি অ্যাক্সেস করার সমস্ত পরবর্তী প্রচেষ্টাকে HTTPS অনুরোধে রূপান্তর করবে।

অনুপস্থিত হেডারের নিরাপত্তার প্রভাব

যে অ্যাপ্লিকেশনগুলি এই শিরোনামগুলি প্রয়োগ করতে ব্যর্থ হয় সেগুলি ক্লায়েন্ট-সাইড আপসের একটি উল্লেখযোগ্যভাবে উচ্চ ঝুঁকিতে থাকে। একটি বিষয়বস্তু নিরাপত্তা নীতির অনুপস্থিতি অননুমোদিত স্ক্রিপ্টগুলি কার্যকর করার অনুমতি দেয়, যা সেশন হাইজ্যাকিং, অননুমোদিত ডেটা এক্সফিল্ট্রেশন বা [S1] বিকৃত করতে পারে৷ একইভাবে, HSTS হেডারের অভাব ব্যবহারকারীদের ম্যান-ইন-দ্য-মিডল (MITM) আক্রমণের জন্য সংবেদনশীল করে তোলে, বিশেষ করে প্রাথমিক সংযোগ পর্যায়ে, যেখানে একজন আক্রমণকারী ট্র্যাফিককে বাধা দিতে পারে এবং ব্যবহারকারীকে ZXCVFIXVIBETOKEN1 সাইটের একটি দূষিত বা এনক্রিপ্ট করা সংস্করণে পুনঃনির্দেশ করতে পারে।

কিভাবে FixVibe এর জন্য পরীক্ষা করে

FixVibe ইতিমধ্যেই এটিকে একটি প্যাসিভ স্ক্যান চেক হিসেবে অন্তর্ভুক্ত করেছে। headers.security-headers Content-Security-Policy, Strict-Transport-Security, X-Frame-Options বা X-Frame-Options বা ZXCVFIXVIBETOKEN, ZXVXVX5, ZXCVFIXVIBETOKEN, ZXVX5XVX5X এর উপস্থিতি এবং শক্তির জন্য সর্বজনীন HTTP প্রতিক্রিয়া মেটাডেটা পরিদর্শন করে Referrer-Policy, এবং Permissions-Policy। এটি এক্সপ্লয়েট প্রোব ছাড়াই অনুপস্থিত বা দুর্বল মান রিপোর্ট করে এবং এর ফিক্স প্রম্পট সাধারণ অ্যাপ এবং CDN সেটআপের জন্য ডিপ্লোয়-রেডি হেডার উদাহরণ দেয়।

প্রতিকার নির্দেশিকা

নিরাপত্তা ভঙ্গি উন্নত করতে, ওয়েব সার্ভারগুলিকে অবশ্যই সমস্ত উত্পাদন রুটে এই শিরোনামগুলি ফেরত দেওয়ার জন্য কনফিগার করতে হবে৷ একটি শক্তিশালী CSP স্ক্রিপ্ট এক্সিকিউশন পরিবেশ script-src এবং object-src-এর মতো নির্দেশাবলী ব্যবহার করে অ্যাপ্লিকেশনের নির্দিষ্ট সংস্থান প্রয়োজনীয়তা অনুসারে তৈরি করা উচিত। পরিবহন নিরাপত্তার জন্য, Strict-Transport-Security শিরোনামটি একটি উপযুক্ত max-age নির্দেশিকা সহ সক্ষম করা উচিত যাতে ব্যবহারকারীর সেশনগুলি [S2] জুড়ে অবিরাম সুরক্ষা নিশ্চিত করা যায়৷