FixVibe
Covered by FixVibemedium

Penawdau Diogelwch HTTP: Gweithredu CSP a HSTS ar gyfer Amddiffyniad Ochr Porwr

Mae'r ymchwil hwn yn archwilio rôl hanfodol penawdau diogelwch HTTP, yn benodol Polisi Diogelwch Cynnwys (CSP) a HTTP Strict Transport Security (HSTS), wrth amddiffyn cymwysiadau gwe rhag gwendidau cyffredin fel Sgriptio Traws-Safle (XSS) ac ymosodiadau israddio protocol.

CWE-1021CWE-79CWE-319

Swyddogaeth Penawdau Diogelwch

Mae penawdau diogelwch HTTP yn darparu mecanwaith safonol ar gyfer cymwysiadau gwe i gyfarwyddo porwyr i orfodi polisïau diogelwch penodol yn ystod sesiwn [S1] [S2]. Mae'r penawdau hyn yn gweithredu fel haen hollbwysig o amddiffyniad manwl, gan liniaru risgiau nad yw rhesymeg cymhwyso yn unig yn mynd i'r afael â hwy yn llawn.

Polisi Diogelwch Cynnwys (CSP)

Mae Polisi Diogelwch Cynnwys (CSP) yn haen ddiogelwch sy'n helpu i ganfod a lliniaru rhai mathau o ymosodiadau, gan gynnwys Sgriptio Traws-Safle (XSS) ac ymosodiadau chwistrellu data [S1]. Trwy ddiffinio polisi sy'n nodi pa adnoddau deinamig y caniateir eu llwytho, mae CSP yn atal y porwr rhag gweithredu sgriptiau maleisus a chwistrellir gan ymosodwr [S1]. Mae hyn i bob pwrpas yn cyfyngu ar weithredu cod anawdurdodedig hyd yn oed os oes bregusrwydd pigiad yn bodoli yn y cais.

HTTP Strict Transport Security (HSTS)

Mae HTTP Strict Transport Security (HSTS) yn fecanwaith sy'n caniatáu i wefan hysbysu porwyr mai dim ond trwy HTTPS y dylid ei chyrchu, yn hytrach na HTTP [S2]. Mae hyn yn amddiffyn rhag ymosodiadau israddio protocol a herwgipio cwci trwy sicrhau bod yr holl gyfathrebu rhwng y cleient a'r gweinydd wedi'i amgryptio [S2]. Unwaith y bydd porwr yn derbyn y pennawd hwn, bydd yn trosi pob ymgais dilynol i gael mynediad i'r wefan trwy HTTP yn geisiadau HTTPS yn awtomatig.

Goblygiadau Diogelwch Penawdau Coll

Mae ceisiadau sy'n methu â gweithredu'r penawdau hyn mewn perygl sylweddol uwch o gyfaddawdu ochr y cleient. Mae absenoldeb Polisi Diogelwch Cynnwys yn caniatáu ar gyfer gweithredu sgriptiau anawdurdodedig, a all arwain at herwgipio sesiwn, all-hidlo data heb awdurdod, neu ddifwyno [S1]. Yn yr un modd, mae diffyg pennawd HSTS yn gadael defnyddwyr yn agored i ymosodiadau dyn-yn-y-canol (MITM), yn enwedig yn ystod y cyfnod cysylltiad cychwynnol, lle gall ymosodwr ryng-gipio traffig ac ailgyfeirio'r defnyddiwr i fersiwn maleisus neu heb ei amgryptio o'r safle [S2].

Sut mae FixVibe yn ei brofi

Mae FixVibe eisoes yn cynnwys hyn fel gwiriad sgan goddefol. Mae headers.security-headers yn archwilio metadata ymateb HTTP cyhoeddus am bresenoldeb a chryfder Content-Security-Policy, Strict-Transport-Security, X-Frame-Options neu ZXCVFIXVIBETOKEN4ZVENCVC, Content-Security-Policy, Referrer-Policy, a Permissions-Policy. Mae'n adrodd am werthoedd coll neu wan heb ecsbloetio stilwyr, ac mae ei anogwr trwsio yn rhoi enghreifftiau penawdau parod ar gyfer gosodiadau ap a CDN cyffredin.

Cyfarwyddyd Adfer

Er mwyn gwella osgo diogelwch, rhaid ffurfweddu gweinyddwyr gwe i ddychwelyd y penawdau hyn ar bob llwybr cynhyrchu. Dylid teilwra CSP cadarn i ofynion adnoddau penodol y cais, gan ddefnyddio cyfarwyddebau fel script-src a object-src i gyfyngu ar amgylcheddau gweithredu sgriptiau [S1]. Ar gyfer diogelwch trafnidiaeth, dylid galluogi pennawd Strict-Transport-Security gyda chyfarwyddeb max-age priodol i sicrhau amddiffyniad parhaus ar draws sesiynau defnyddwyr [S2].