FixVibe
Covered by FixVibemedium

Utilstrækkelig sikkerhedsheaderkonfiguration

Webapplikationer formår ofte ikke at implementere væsentlige sikkerhedsheaders, hvilket efterlader brugere udsat for cross-site scripting (XSS), clickjacking og datainjektion. Ved at følge etablerede retningslinjer for websikkerhed og bruge revisionsværktøjer som MDN Observatory, kan udviklere hærde deres applikationer betydeligt mod almindelige browserbaserede angreb.

CWE-693

Indvirkning

Fraværet af sikkerhedsheadere gør det muligt for angribere at udføre clickjacking, stjæle sessionscookies eller udføre cross-site scripting (XSS) [S1]. Uden disse instruktioner kan browsere ikke håndhæve sikkerhedsgrænser, hvilket fører til potentiel dataeksfiltrering og uautoriserede brugerhandlinger [S2].

Grundårsag

Problemet stammer fra en fejl i at konfigurere webservere eller applikationsrammer til at inkludere standard HTTP-sikkerhedsheadere. Mens udvikling ofte prioriterer funktionel HTML og CSS [S1], udelades sikkerhedskonfigurationer ofte. Revisionsværktøjer som MDN Observatory er designet til at opdage disse manglende defensive lag og sikre, at interaktionen mellem browseren og serveren er sikker [S2].

Tekniske detaljer

Sikkerhedsheadere giver browseren specifikke sikkerhedsdirektiver for at afbøde almindelige sårbarheder:

  • Indholdssikkerhedspolitik (CSP): Styrer, hvilke ressourcer der kan indlæses, hvilket forhindrer uautoriseret scriptudførelse og datainjektion [S1].
  • Strict-Transport-Security (HSTS): Sikrer, at browseren kun kommunikerer over sikre HTTPS-forbindelser [S2].
  • X-Frame-Options: Forhindrer applikationen i at blive gengivet i en iframe, som er et primært forsvar mod clickjacking [S1].
  • X-Content-Type-Options: Forhindrer browseren i at fortolke filer som en anden MIME-type end den specificerede, og stopper MIME-sniffing angreb [S2].

Hvordan FixVibe tester for det

FixVibe kunne detektere dette ved at analysere HTTP-svarheaderne i en webapplikation. Ved at benchmarke resultaterne i forhold til MDN Observatory-standarderne [S2], kan FixVibe markere manglende eller forkert konfigurerede overskrifter såsom CSP, HSTS og X-Frame-Options.

Rette

Opdater webserveren (f.eks. Nginx, Apache) eller applikations-middleware til at inkludere følgende overskrifter i alle svar som en del af en standard sikkerhedsposition [S1]:

  • Content-Security-Policy: Begræns ressourcekilder til pålidelige domæner.
  • Strict-Transport-Security: Håndhæv HTTPS med en lang max-age.
  • X-Content-Type-Options: Indstil til nosniff [S2].
  • X-Frame-Options: Indstil til DENY eller SAMEORIGIN for at forhindre clickjacking [S1].