Mõju
Turvakriitiliste konfiguratsioonide rakendamata jätmine võib jätta veebirakendused avatuks brauseri ja transporditaseme riskidele. Automaatsed skannimistööriistad aitavad neid lünki tuvastada, analüüsides, kuidas veebistandardeid HTML-i, CSS-i ja JavaScripti puhul rakendatakse. [S1]. Nende riskide varajane tuvastamine võimaldab arendajatel lahendada konfiguratsiooni nõrkused enne, kui välised osalejad saavad neid ära kasutada. [S1].
Algpõhjus
Nende haavatavuste peamine põhjus on turvakriitiliste HTTP vastuse päiste väljajätmine või veebistandardite [S1] vale konfiguratsioon. Arendajad võivad eelistada rakenduse funktsioone, jättes tähelepanuta brauseri tasemel turbejuhised, mis on vajalikud tänapäevase veebiturvalisuse jaoks [S1].
Betooniparandused
- Turbekonfiguratsioonide auditeerimine: kasutage regulaarselt skannimistööriistu, et kontrollida turbekriitiliste päiste ja konfiguratsioonide rakendamist kogu rakenduses [S1].
- Järgige veebistandardeid: veenduge, et HTML-i, CSS-i ja JavaScripti juurutused järgiksid suuremate veebiplatvormide dokumenteeritud turvalise kodeerimise juhiseid, et säilitada tugev turvapositsioon. [S1].
Kuidas FixVibe seda testib
FixVibe katab selle juba passiivse skannerimooduli headers.security-headers kaudu. Tavalise passiivse skannimise ajal tõmbab FixVibe sihtmärgi nagu brauser ja kontrollib CSP, HSTS, X-Frame-Options, X-Content-Type-Policy-Options, Referre-Policy-Policy-Options ja Referre-Options. Leiud jäävad passiivseks ja allikapõhiseks: skanner teatab täpse nõrga või puuduva vastuse päisest ilma ärakasutamise kasulikke koormusi saatmata.