Mõju
Turvapäiste puudumine võimaldab ründajatel teha klõpsude röövimist, varastada seansiküpsiseid või käivitada saidiülest skriptimist (XSS) [S1]. Ilma nende juhisteta ei saa brauserid jõustada turvapiire, mis võib viia andmete võimaliku väljafiltreerimise ja volitamata kasutajatoiminguteni [S2].
Algpõhjus
Probleem tuleneb suutmatusest konfigureerida veebiservereid või rakendusraamistikke standardsete HTTP-turbepäiste lisamiseks. Kuigi arendus seab sageli esikohale funktsionaalse HTML-i ja CSS-i [S1], jäetakse turvakonfiguratsioonid sageli välja. Audititööriistad, nagu MDN-i vaatluskeskus, on loodud nende puuduvate kaitsekihtide tuvastamiseks ning brauseri ja serveri vahelise suhtluse turvalisuse tagamiseks. [S2].
Tehnilised üksikasjad
Turvapäised annavad brauserile kindlad turvajuhised, et leevendada levinud haavatavusi.
- Sisu turbepoliitika (CSP): juhib, milliseid ressursse saab laadida, vältides volitamata skripti täitmist ja andmete sisestamist. [S1].
- Range transporditurvalisus (HSTS): tagab, et brauser suhtleb ainult turvaliste HTTPS-ühenduste kaudu [S2].
- X-Frame-Options: takistab rakenduse renderdamist iframe'is, mis on esmane kaitse klõpsamise vastu [S1].
- X-Content-Type-Options: takistab brauseril tõlgendada faile määratust erineva MIME-tüübina, peatades MIME nuusutamise rünnakud [S2].
Kuidas FixVibe seda testib
FixVibe suudab selle tuvastada, analüüsides veebirakenduse HTTP vastuse päiseid. Võrreldes tulemusi MDN-i vaatluskeskuse standarditega [S2], FixVibe, saab märgistada puuduvad või valesti konfigureeritud päised, nagu CSP, ZXCVFIXVIBETOKEN4XFXCV ja-.
Paranda
Värskendage veebiserverit (nt Nginx, Apache) või rakenduse vahevara, et kaasata standardse turbeasendi [S1] kõikidesse vastustesse järgmised päised:
- Sisu-turvapoliitika: piirake ressursiallikaid usaldusväärsete domeenidega.
- Strict-Transport-Security: jõustage HTTPS pika
max-age-ga. - X-Content-Type-Options: määrake väärtusele
nosniff[S2]. - X-Frame-Options: määrake
DENYvõiSAMEORIGIN, et vältida klõpsamist [S1].