FixVibe
Covered by FixVibemedium

HTTP-suojausotsikot: CSP:n ja HSTS:n käyttöönotto selainpuolen suojauksessa

Tämä tutkimus tutkii HTTP-suojausotsikoiden, erityisesti sisällön suojauskäytännön (CSP) ja HTTP Strict Transport Securityn (HSTS), kriittistä roolia verkkosovellusten suojaamisessa yleisiltä haavoittuvuuksilta, kuten Cross-Site Scripting (ZXCVFIXVIBETOKEN) ja protokollien alaspäin syntyvistä protokollista.

CWE-1021CWE-79CWE-319

Turvallisuusotsikoiden rooli

HTTP-suojausotsikot tarjoavat verkkosovelluksille standardoidun mekanismin, joka ohjaa selaimia pakottamaan tiettyjä suojauskäytäntöjä istunnon aikana. [S1] [S2]. Nämä otsikot toimivat kriittisenä kerroksena perusteellisessa puolustuksessa ja vähentävät riskejä, joita ei välttämättä pystytä täysin ratkaisemaan pelkällä sovelluslogiikalla.

Sisällön suojauskäytäntö (CSP)

Sisällön suojauskäytäntö (CSP) on suojakerros, joka auttaa havaitsemaan ja lieventämään tietyntyyppisiä hyökkäyksiä, mukaan lukien Cross-Site Scripting (XSS) ja tietojen lisäyshyökkäykset [S1]. Määrittämällä käytännön, joka määrittää, mitkä dynaamiset resurssit saavat ladata, CSP estää selainta suorittamasta haitallisia komentosarjoja, jotka hyökkääjä on syöttänyt [S1]. Tämä rajoittaa tehokkaasti luvattoman koodin suorittamista, vaikka sovelluksessa olisi lisäyshaavoittuvuus.

HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS) on mekanismi, jonka avulla verkkosivusto voi ilmoittaa selaimille, että sitä tulisi käyttää vain HTTPS:n kautta HTTP [S2] sijaan. Tämä suojaa protokollan alentamishyökkäyksiltä ja evästeiden kaappauksilta varmistamalla, että kaikki viestintä asiakkaan ja palvelimen välillä on salattua [S2]. Kun selain vastaanottaa tämän otsikon, se muuntaa automaattisesti kaikki seuraavat yritykset päästä sivustolle HTTP:n kautta HTTPS-pyynnöiksi.

Puuttuvien otsikoiden turvallisuusvaikutukset

Sovellukset, jotka eivät pysty toteuttamaan näitä otsikoita, ovat huomattavasti suuremmassa riskissä asiakaspuolen kompromisseille. Sisällön suojauskäytännön puuttuminen mahdollistaa luvattomien komentosarjojen suorittamisen, mikä voi johtaa istunnon kaappaamiseen, luvattomaan tietojen suodattamiseen tai turmelemiseen. [S1]. Vastaavasti HSTS-otsikon puute jättää käyttäjät alttiiksi man-in-the-middle (MITM) -hyökkäyksille, erityisesti yhteyden alkuvaiheessa, jolloin hyökkääjä voi siepata liikennettä ja ohjata käyttäjän sivuston [S2] haitalliseen tai salaamattomaan versioon.

Kuinka FixVibe testaa sitä

FixVibe sisältää tämän jo passiivisena skannauksena. headers.security-headers tarkastaa julkisen HTTP-vastauksen metadatan Content-Security-Policy, Strict-Transport-Security, X-Frame-Options tai ZXCVFIXVIBETOKEN4ZVCENCENVIXZVIX, ZXVCEN4ZXCVX, Strict-Transport-Security Referrer-Policy ja Permissions-Policy. Se raportoi puuttuvista tai heikoista arvoista ilman hyödyntämisantureita, ja sen korjauskehote antaa käyttöönottovalmiita otsikkoesimerkkejä yleisille sovellus- ja CDN-asennuksille.

Korjausohjeet

Turvallisuuden parantamiseksi verkkopalvelimet on määritettävä palauttamaan nämä otsikot kaikilla tuotantoreiteillä. Vankka CSP tulee räätälöidä sovelluksen erityisiin resurssivaatimuksiin käyttämällä sellaisia ​​direktiivejä kuin script-src ja object-src rajoittamaan komentosarjan suoritusympäristöjä [S1]. Kuljetuksen turvallisuuden vuoksi Strict-Transport-Security-otsikko tulee ottaa käyttöön asianmukaisella max-age-direktiivillä, jotta voidaan varmistaa jatkuva suojaus [S2] käyttöistuntojen ajan.