FixVibe
Covered by FixVibemedium

HTTP turbepäised: CSP ja HSTS rakendamine brauseripoolse kaitse jaoks

See uurimus uurib HTTP-turbepäiste, täpsemalt sisuturbepoliitika (CSP) ja HTTP range transporditurbe (HSTS) kriitilist rolli veebirakenduste kaitsmisel levinud haavatavuste eest, nagu saidiülene skriptimine (ZXCVFIXVIBETOKEN0ZX-i protokollid).

CWE-1021CWE-79CWE-319

Turvapäiste roll

HTTP-turbepäised pakuvad veebirakendustele standardiseeritud mehhanismi, et anda brauseritele käsu seansi ajal konkreetseid turbepoliitikaid jõustada. [S1] [S2]. Need päised toimivad põhjaliku kaitse kriitilise kihina, vähendades riske, mida ei pruugi rakendusloogika üksi täielikult lahendada.

Sisu turvapoliitika (CSP)

Sisu turbepoliitika (CSP) on turbekiht, mis aitab tuvastada ja leevendada teatud tüüpi ründeid, sealhulgas saidiülene skriptimine (XSS) ja andmete sisestamise rünnakud [S1]. Määrates poliitika, mis määrab, milliseid dünaamilisi ressursse on lubatud laadida, takistab CSP brauserit käivitamast ründaja [S1] sisestatud pahatahtlikke skripte. See piirab tõhusalt volitamata koodi täitmist isegi siis, kui rakenduses on haavatavus.

HTTP range transpordi turvalisus (HSTS)

HTTP range transpordi turvalisus (HSTS) on mehhanism, mis võimaldab veebisaidil teavitada brausereid, et sellele tuleks juurde pääseda ainult HTTPS-i, mitte HTTP [S2] kaudu. See kaitseb protokolli alandamise rünnakute ja küpsiste kaaperdamise eest, tagades, et kogu suhtlus kliendi ja serveri vahel on krüpteeritud. [S2]. Kui brauser selle päise kätte saab, teisendab see automaatselt kõik järgnevad katsed saidile HTTP kaudu juurde pääseda HTTPS-i päringuteks.

Puuduvate päiste tagajärjed turvalisusele

Rakendustel, mis ei suuda neid päiseid rakendada, on oluliselt suurem kliendipoolsete ohtude oht. Sisu turvapoliitika puudumine võimaldab käivitada volitamata skripte, mis võivad viia seansi kaaperdamiseni, volitamata andmete väljafiltreerimiseni või rikkumiseni. [S1]. Samamoodi jätab HSTS päise puudumine kasutajad vastuvõtlikuks MITM-rünnakute suhtes, eriti ühenduse loomise algfaasis, kus ründaja saab liiklust pealt kuulata ja kasutaja suunata saidi [S2] pahatahtlikule või krüptimata versioonile.

Kuidas FixVibe seda testib

FixVibe sisaldab seda juba passiivse skannimise kontrollina. headers.security-headers kontrollib avalikke HTTP-vastuse metaandmeid, et tuvastada Content-Security-Policy, Strict-Transport-Security, X-Frame-Options või ZXCVFIXVIBETOKEN4ZCVCENVIXVIX, ZBETOKENC, Referrer-Policy ja Permissions-Policy. See teatab puuduvatest või nõrkadest väärtustest ilma ärakasutamissondideta ja selle parandusviip annab juurutusvalmis päise näiteid tavaliste rakenduste ja CDN-i seadistuste jaoks.

Heastamisjuhised

Turvalisuse parandamiseks peavad veebiserverid olema konfigureeritud tagastama need päised kõigil tootmismarsruutidel. Tugev CSP tuleks kohandada rakenduse spetsiifilistele ressursinõuetele, kasutades skripti täitmiskeskkondade [S1] nt script-src ja object-src direktiive. Transpordi turvalisuse tagamiseks tuleks päis Strict-Transport-Security lubada vastava max-age direktiiviga, et tagada püsiv kaitse kogu kasutajaseansside jooksul [S2].