FixVibe
Covered by FixVibemedium

هدرهای امنیتی HTTP: پیاده سازی CSP و HSTS برای دفاع از سمت مرورگر

این تحقیق نقش حیاتی هدرهای امنیتی HTTP، به ویژه سیاست امنیتی محتوا (CSP) و امنیت حمل و نقل سخت HTTP (HSTS)، را در محافظت از برنامه های کاربردی وب در برابر آسیب پذیری های رایج مانند پروتکل Cross-Site Scripting (CSP0) بررسی می کند. حملات

CWE-1021CWE-79CWE-319

نقش هدرهای امنیتی

هدرهای امنیتی HTTP مکانیسم استاندارد شده ای را برای برنامه های کاربردی وب ارائه می دهند تا به مرورگرها دستور دهند تا سیاست های امنیتی خاصی را در طول یک جلسه اعمال کنند. این هدرها به عنوان یک لایه حیاتی از دفاع در عمق عمل می کنند و خطراتی را که ممکن است تنها با منطق برنامه به طور کامل برطرف نشوند، کاهش می دهند.

خط‌مشی امنیت محتوا (CSP)

خط مشی امنیت محتوا (CSP) یک لایه امنیتی است که به شناسایی و کاهش انواع خاصی از حملات، از جمله اسکریپت بین سایتی (XSS) و حملات تزریق داده [S1] کمک می کند. CSP با تعریف خط مشی ای که مشخص می کند کدام منابع پویا مجاز به بارگیری هستند، از اجرای اسکریپت های مخرب تزریق شده توسط مهاجم [S1] توسط مرورگر جلوگیری می کند. این به طور موثر اجرای کدهای غیرمجاز را محدود می کند حتی اگر یک آسیب پذیری تزریق در برنامه وجود داشته باشد.

امنیت حمل و نقل سخت HTTP (HSTS)

امنیت حمل و نقل سخت HTTP (HSTS) مکانیزمی است که به یک وب سایت اجازه می دهد تا به مرورگرها اطلاع دهد که فقط باید با استفاده از HTTPS به آن دسترسی داشت نه HTTP [S2]. این امر با اطمینان از اینکه تمام ارتباطات بین کلاینت و سرور رمزگذاری شده است [S2] در برابر حملات کاهش رتبه پروتکل و ربودن کوکی ها محافظت می کند. هنگامی که یک مرورگر این هدر را دریافت کرد، به طور خودکار تمام تلاش های بعدی برای دسترسی به سایت از طریق HTTP را به درخواست های HTTPS تبدیل می کند.

پیامدهای امنیتی هدرهای گمشده

برنامه‌هایی که موفق به پیاده‌سازی این سرصفحه‌ها نمی‌شوند، به طور قابل‌توجهی در معرض خطر بیشتر در معرض خطر قرار گرفتن سمت مشتری هستند. عدم وجود خط‌مشی امنیتی محتوا امکان اجرای اسکریپت‌های غیرمجاز را می‌دهد که می‌تواند منجر به ربودن جلسه، حذف غیرمجاز داده‌ها یا تخریب [S1] شود. به طور مشابه، فقدان هدر HSTS کاربران را مستعد حملات انسان در وسط (MITM) می کند، به ویژه در مرحله اتصال اولیه، جایی که مهاجم می تواند ترافیک را رهگیری کرده و کاربر را به نسخه مخرب یا رمزگذاری نشده سایت ZXCVFIXZVIBETOKEN هدایت کند.

چگونه FixVibe آن را آزمایش می کند

FixVibe قبلاً این را به عنوان یک بررسی اسکن غیرفعال شامل می شود. headers.security-headers فراداده پاسخ HTTP عمومی را برای وجود و قدرت Content-Security-Policy، Strict-Transport-Security، X-Frame-Options یا ZXCVFIXXVIBETOKEN، بررسی می کند. X-Content-Type-Options، Referrer-Policy، و Permissions-Policy. مقادیر ناپدید یا ضعیف را بدون کاوشگرهای اکسپلویت گزارش می‌کند، و اعلان رفع آن نمونه‌های سرصفحه آماده برای نصب برنامه‌ها و تنظیمات CDN را ارائه می‌دهد.

راهنمای اصلاح

برای بهبود وضعیت امنیتی، وب سرورها باید به گونه ای پیکربندی شوند که این هدرها را در تمام مسیرهای تولید برگردانند. یک CSP قوی باید با استفاده از دستورالعمل‌هایی مانند script-src و object-src برای محدود کردن محیط‌های اجرای اسکریپت ZXCVFIXXVIBETOKEN. برای امنیت حمل و نقل، هدر Strict-Transport-Security باید با دستورالعمل مناسب max-age فعال شود تا از حفاظت مداوم در سراسر جلسات کاربر [S2] اطمینان حاصل شود.