Indvirkning
Manglende implementering af sikkerhedskritiske konfigurationer kan efterlade webapplikationer udsat for risici på browserniveau og transportniveau. Automatiserede scanningsværktøjer hjælper med at identificere disse huller ved at analysere, hvordan webstandarder anvendes på tværs af HTML, CSS og JavaScript [S1]. At identificere disse risici tidligt giver udviklere mulighed for at løse konfigurationssvagheder, før de kan udnyttes af eksterne aktører [S1].
Grundårsag
Den primære årsag til disse sårbarheder er udeladelsen af sikkerhedskritiske HTTP-svarheaders eller den forkerte konfiguration af webstandarderne [S1]. Udviklere kan prioritere applikationsfunktionalitet, mens de overser de sikkerhedsinstruktioner på browserniveau, der kræves for moderne websikkerhed [S1].
Konkrete rettelser
- Revision af sikkerhedskonfigurationer: Brug jævnligt scanningsværktøjer til at verificere implementeringen af sikkerhedskritiske overskrifter og konfigurationer på tværs af applikationen [S1].
- Overhold webstandarder: Sørg for, at HTML-, CSS- og JavaScript-implementeringer følger retningslinjer for sikker kodning som dokumenteret af større webplatforme for at opretholde en robust sikkerhedsposition [S1].
Hvordan FixVibe tester for det
FixVibe dækker allerede dette gennem det passive headers.security-headers scannermodul. Under en normal passiv scanning henter FixVibe målet som en browser og tjekker root HTML-svaret for CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Permissions-Policy, og Referrer-Permissions-Policy. Resultaterne forbliver passive og kildebaserede: Scanneren rapporterer den nøjagtige svage eller manglende svarheader uden at sende udnyttede nyttelaster.