FixVibe
Covered by FixVibemedium

Configurazione di l'intestazione di sicurezza inadegwata

L'applicazioni web spessu ùn riescenu à implementà intestazioni di sicurezza essenziali, lascendu l'utilizatori esposti à scripting cross-site (XSS), clickjacking è injection di dati. Seguendu e linee di sicurezza web stabilite è utilizendu strumenti di auditu cum'è l'Osservatoriu MDN, i sviluppatori ponu indurisce significativamente e so applicazioni contr'à attacchi cumuni basati in navigatori.

CWE-693

Impattu

L'assenza di intestazioni di sicurità permette à l'attaccanti di fà cliccà, rubà cookies di sessione, o eseguisce scripting cross-site (XSS) [S1]. Senza queste struzzioni, i navigatori ùn ponu micca rinfurzà e fruntiere di sicurezza, purtendu à l'esfiltrazione di dati potenziale è l'azzioni di l'utilizatori micca autorizati [S2].

Causa Root

U prublema deriva da un fallimentu di cunfigurà i servitori web o i quadri di l'applicazioni per include intestazioni di sicurezza HTTP standard. Mentre chì u sviluppu spessu priorizeghja HTML funziunale è CSS [S1], e cunfigurazioni di sicurezza sò spessu omessi. Strumenti di auditu cum'è l'Osservatoriu MDN sò pensati per detectà sti strati difensivi mancanti è assicurà chì l'interazzione trà u navigatore è u servitore hè sicura [S2].

Dettagli tecnichi

L'intestazione di sicurezza furnisce u navigatore cù direttive di sicurezza specifiche per mitigà e vulnerabilità cumuni:

  • Politica di Sicurezza di u Cuntinutu (CSP): Cuntrolla quali risorse ponu esse caricate, impediscendu l'esecuzione di script non autorizati è l'iniezione di dati [S1].
  • Strict-Transport-Security (HSTS): Assicura chì u navigatore cumunicà solu nantu à cunnessione HTTPS sicuri [S2].
  • X-Frame-Options: Impedisce chì l'applicazione sia resa in un iframe, chì hè una difesa primaria contr'à u clickjacking [S1].
  • X-Content-Type-Options: Impedisce à u navigatore di interpretà i fugliali cum'è un tipu MIME differente da ciò chì hè specificatu, impediscendu l'attacchi MIME-sniffing [S2].

Cumu FixVibe prova per questu

FixVibe puderia detectà questu analizendu l'intestazione di risposta HTTP di una applicazione web. Benchmarking i risultati contr'à i standard di l'Osservatori MDN [S2], FixVibe ponu signalà intestazioni mancanti o misconfigurate cum'è CSP, HSTS, è X-Frame-Options.

Fix

Aghjurnà u servitore web (per esempiu, Nginx, Apache) o middleware di l'applicazione per include e seguenti intestazioni in tutte e risposte cum'è parte di una postura di sicurezza standard [S1]:

  • Content-Security-Policy: Limità e fonti di risorse à i domini di fiducia.
  • Strict-Transport-Security: Enforce HTTPS cun un longu max-age.
  • X-Content-Type-Options: Set to nosniff [S2].
  • X-Frame-Options: Set to DENY o SAMEORIGIN per impediscenu clickjacking [S1].