FixVibe
Covered by FixVibemedium

অপর্যাপ্ত নিরাপত্তা হেডার কনফিগারেশন

ওয়েব অ্যাপ্লিকেশনগুলি প্রায়শই প্রয়োজনীয় সুরক্ষা শিরোনামগুলি প্রয়োগ করতে ব্যর্থ হয়, ব্যবহারকারীদের ক্রস-সাইট স্ক্রিপ্টিং (XSS), ক্লিকজ্যাকিং এবং ডেটা ইনজেকশনের সংস্পর্শে ফেলে। প্রতিষ্ঠিত ওয়েব নিরাপত্তা নির্দেশিকা অনুসরণ করে এবং MDN অবজারভেটরির মতো অডিটিং টুল ব্যবহার করে, বিকাশকারীরা সাধারণ ব্রাউজার-ভিত্তিক আক্রমণের বিরুদ্ধে তাদের অ্যাপ্লিকেশনগুলিকে উল্লেখযোগ্যভাবে কঠোর করতে পারে।

CWE-693

প্রভাব

নিরাপত্তা শিরোনাম অনুপস্থিতি আক্রমণকারীদের ক্লিকজ্যাকিং, সেশন কুকি চুরি, বা ক্রস-সাইট স্ক্রিপ্টিং (XSS) [S1] সম্পাদন করতে দেয়। এই নির্দেশনা ব্যতীত, ব্রাউজারগুলি নিরাপত্তা সীমানা প্রয়োগ করতে পারে না, যার ফলে সম্ভাব্য ডেটা অপসারণ এবং অননুমোদিত ব্যবহারকারীর ক্রিয়া [S2] হতে পারে।

মূল কারণ

স্ট্যান্ডার্ড HTTP নিরাপত্তা শিরোনাম অন্তর্ভুক্ত করার জন্য ওয়েব সার্ভার বা অ্যাপ্লিকেশন ফ্রেমওয়ার্ক কনফিগার করতে ব্যর্থতার কারণে সমস্যাটি উদ্ভূত হয়েছে। যদিও বিকাশ প্রায়শই কার্যকরী HTML এবং CSS [S1] কে অগ্রাধিকার দেয়, নিরাপত্তা কনফিগারেশনগুলি প্রায়শই বাদ দেওয়া হয়। MDN অবজারভেটরির মতো অডিটিং সরঞ্জামগুলি এই অনুপস্থিত প্রতিরক্ষামূলক স্তরগুলি সনাক্ত করতে এবং ব্রাউজার এবং সার্ভারের মধ্যে মিথস্ক্রিয়া [S2] সুরক্ষিত তা নিশ্চিত করার জন্য ডিজাইন করা হয়েছে।

প্রযুক্তিগত বিবরণ

নিরাপত্তা শিরোনামগুলি সাধারণ দুর্বলতাগুলি প্রশমিত করার জন্য ব্রাউজারকে নির্দিষ্ট নিরাপত্তা নির্দেশাবলী প্রদান করে:

  • কন্টেন্ট সিকিউরিটি পলিসি (CSP): অননুমোদিত স্ক্রিপ্ট এক্সিকিউশন এবং ডেটা ইনজেকশন [S1] প্রতিরোধ করে কোন সংস্থানগুলি লোড করা যেতে পারে তা নিয়ন্ত্রণ করে৷
  • কঠোর-পরিবহন-নিরাপত্তা (HSTS): নিশ্চিত করে যে ব্রাউজার শুধুমাত্র নিরাপদ HTTPS সংযোগ [S2] এর মাধ্যমে যোগাযোগ করে।
  • এক্স-ফ্রেম-বিকল্প: অ্যাপ্লিকেশনটিকে আইফ্রেমে রেন্ডার করা থেকে বাধা দেয়, যা [S1] ক্লিকজ্যাকিংয়ের বিরুদ্ধে একটি প্রাথমিক প্রতিরক্ষা।
  • X-Content-Type-Options: ব্রাউজারকে ফাইলগুলিকে নির্দিষ্ট করা থেকে আলাদা MIME টাইপ হিসাবে ব্যাখ্যা করতে বাধা দেয়, MIME-স্নিফিং আক্রমণ বন্ধ করে [S2]।

কিভাবে FixVibe এর জন্য পরীক্ষা করে

FixVibe একটি ওয়েব অ্যাপ্লিকেশনের HTTP প্রতিক্রিয়া শিরোনাম বিশ্লেষণ করে এটি সনাক্ত করতে পারে। MDN মানমন্দির [S2], FixVibe অনুপস্থিত বা ভুল কনফিগার করা হেডার যেমন CSP, ZXCVFIXVIBETOKEN4ZXFCV, এবং XXFCV, [S2] এর বিপরীতে ফলাফলের বেঞ্চমার্ক করে৷

ঠিক করুন

একটি স্ট্যান্ডার্ড নিরাপত্তা ভঙ্গি [S1] এর অংশ হিসাবে সমস্ত প্রতিক্রিয়াগুলিতে নিম্নলিখিত শিরোনামগুলি অন্তর্ভুক্ত করতে ওয়েব সার্ভার (যেমন, Nginx, Apache) বা অ্যাপ্লিকেশন মিডলওয়্যার আপডেট করুন:

  • সামগ্রী-নিরাপত্তা-নীতি: বিশ্বস্ত ডোমেনে সম্পদের উৎস সীমাবদ্ধ করুন।
  • কঠোর-পরিবহন-নিরাপত্তা: একটি দীর্ঘ max-age সহ HTTPS প্রয়োগ করুন৷
  • X-কন্টেন্ট-টাইপ-বিকল্পসমূহ: nosniff [S2] এ সেট করুন।
  • X-ফ্রেম-বিকল্পসমূহ: DENY বা SAMEORIGIN ক্লিক জ্যাকিং প্রতিরোধ করতে [S1] তে সেট করুন৷