FixVibe
Covered by FixVibemedium

Segurtasun goiburuaren konfigurazio desegokia

Web-aplikazioek sarritan huts egiten dute ezinbesteko segurtasun-goiburuak inplementatzen, eta erabiltzaileak guneen arteko scripting (XSS), clickjacking eta datuen injekzioen eraginpean utziz. Ezarritako web-segurtasun-gidalerroak jarraituz eta MDN Behatokia bezalako auditoretza-tresnak erabiliz, garatzaileek beren aplikazioak nabarmen gogor ditzakete arakatzaileetan oinarritutako ohiko erasoen aurka.

CWE-693

Eragina

Segurtasun-goibururik ez izateak, erasotzaileek clickjacking egiteko, saio-cookieak lapurtzeko edo guneen arteko script-ak (XSS) exekutatu ditzakete [S1]. Argibide hauek gabe, arakatzaileek ezin dituzte segurtasun-mugak ezarri, eta, ondorioz, datuen filtrazio potentziala eta erabiltzaileen baimenik gabeko ekintzak [S2].

Arrazoia

Arazoa web zerbitzariak edo aplikazio-esparruak HTTP segurtasun-goiburu estandarrak sartzeko hutsegitetik dator. Garapenak sarritan HTML eta CSS funtzionalak lehenesten dituen arren [S1], segurtasun-konfigurazioak maiz ez dira baztertzen. MDN Behatokia bezalako ikuskaritza-tresnak falta diren defentsa-geruza horiek detektatzeko eta arakatzailearen eta zerbitzariaren arteko elkarrekintza segurua dela ziurtatzeko diseinatuta daude [S2].

Xehetasun Teknikoak

Segurtasun goiburuek arakatzaileari segurtasun zuzentarau zehatzak ematen dizkiote ahultasun arruntak arintzeko:

  • Edukien segurtasun-politika (CSP): Zein baliabide kargatu daitezkeen kontrolatzen du, baimenik gabeko script exekuzioa eta datuak [S1] saihestuz.
  • Garraio-Segurtasun Zorrotza (HSTS): Arakatzailea HTTPS konexio seguruen bidez soilik komunikatzen dela ziurtatzen du [S2].
  • X-Frame-Options: Aplikazioa iframe batean errendatzea eragozten du, hau da, clickjacking-aren aurkako defentsa nagusia [S1].
  • X-Content-Type-Options: Arakatzaileak fitxategiak zehazten den beste MIME mota gisa interpretatzea eragozten du, [S2] MIME-sniffing erasoak geldituz.

FixVibe probak nola egiten dituen

FixVibe-k hau detektatu lezake web-aplikazio baten HTTP erantzunen goiburuak aztertuta. Emaitzak [S2] MDN Behatokiko estandarrekin alderatuta, FixVibe-k falta diren edo gaizki konfiguratutako goiburuak markatu ditzake, hala nola CSP, HSTS eta X-Frame-O.

Konpondu

Eguneratu web zerbitzaria (adibidez, Nginx, Apache) edo aplikazioen middleware-a, erantzun guztietan goiburu hauek sartzeko [S1] segurtasun-jarrera estandar baten parte gisa:

  • Edukia-Segurtasun-Politika: mugatu baliabide-iturriak domeinu fidagarrietara.
  • Garraio-Segurtasun zorrotza: ezarri HTTPS max-age luze batekin.
  • X-Content-Type-Options: ezarri nosniff [S2].
  • X-Frame-Options: ezarri DENY edo SAMEORIGIN, klik-jabea saihesteko, [S1].