Eragina
Erasotzaileek segurtasun-goibururik eza aprobetxa dezakete Cross-Site Scripting (XSS), clickjacking eta makina-erdiko erasoak egiteko [S1][S3]. Babes horiek gabe, erabiltzaileen datu sentikorrak kanporatu daitezke, eta aplikazioaren osotasuna arriskuan jar dezakete [S3] arakatzaile-ingurunean injektatutako script gaiztoek.
Arrazoia
AI-k bultzatutako garapen-tresnek kode funtzionala lehenesten dute segurtasun-konfigurazioen gainetik. Ondorioz, AI-k sortutako txantiloi askok nabigatzaile modernoek [S1] defentsa sakonean oinarritzen dituzten HTTP erantzunen goiburu kritikoak baztertzen dituzte. Gainera, garapen-fasean aplikazio dinamikoen segurtasun-probak (DAST) integratuta ez egoteak esan nahi du konfigurazio-hutsune hauek gutxitan identifikatzen direla [S2] inplementatu aurretik.
Konponketa konkretuak
- Inplementatu segurtasun-goiburuak: konfiguratu web-zerbitzaria edo aplikazio-esparrua
Content-Security-Policy,Strict-Transport-Security,X-Frame-OptionsetaX-Content-Type-OptionsZXCVFIXVICV-ZXCVFIXVICVZB-Content-Security-Policy. - Puntuazio automatizatua: Erabili goiburuko presentzian eta indarran oinarritutako segurtasun puntuazioa ematen duten tresnak segurtasun handiko jarrera mantentzeko [S1].
- Etengabeko eskaneatzea: Integratu ahultasun-eskaner automatizatuak CI/CD kanalizazioan, aplikazioaren eraso-azalera etengabeko ikusgarritasuna emateko [S2].
FixVibe probak nola egiten dituen
FixVibe dagoeneko headers.security-headers eskaner modulu pasiboaren bidez estaltzen du hori. Eskaneatu pasibo arrunt batean, FixVibe-k helburua lortzen du arakatzaile batek bezala eta HTML eta konexio-erantzun esanguratsuak egiaztatzen ditu CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Polcy Referrer-Options, Policy-Options eta Policy. Moduluak CSP script-iturburu ahulak ere markatzen ditu eta JSON, 204, birbideratze eta errore-erantzunetan positibo faltsuak saihesten ditu dokumentuen soilik goiburuak aplikatzen ez direnean.