FixVibe
Covered by FixVibemedium

Riittämätön suojausotsikon määritys

Verkkosovellukset eivät usein pysty toteuttamaan olennaisia suojausotsikoita, jolloin käyttäjät altistuvat sivustojen väliselle komentosarjalle (XSS), napsautusten kaappaukselle ja tietojen lisäykselle. Noudattamalla vahvistettuja verkkoturvaohjeita ja käyttämällä auditointityökaluja, kuten MDN-observatoriota, kehittäjät voivat parantaa sovelluksiaan merkittävästi yleisiä selainpohjaisia ​​hyökkäyksiä vastaan.

CWE-693

Vaikutus

Suojausotsikoiden puuttuessa hyökkääjät voivat suorittaa napsautusten kaappauksia, varastaa istuntoevästeitä tai suorittaa sivustojen välisiä komentosarjoja (XSS) [S1]. Ilman näitä ohjeita selaimet eivät voi valvoa suojausrajoja, mikä voi johtaa tietojen suodattamiseen ja luvattomiin käyttäjien toimiin [S2].

Perussyy

Ongelma johtuu siitä, että verkkopalvelimia tai sovelluskehyksiä ei voitu määrittää sisältämään standardinmukaisia HTTP-suojausotsikoita. Vaikka kehitystyössä usein priorisoidaan toiminnallinen HTML- ja CSS [S1], suojauskokoonpanot jätetään usein pois. Tarkastustyökalut, kuten MDN-observatorio, on suunniteltu havaitsemaan nämä puuttuvat suojakerrokset ja varmistamaan, että selaimen ja palvelimen välinen vuorovaikutus on turvallinen [S2].

Tekniset tiedot

Suojausotsikot tarjoavat selaimelle erityisiä suojausohjeita yleisten haavoittuvuuksien lieventämiseksi:

  • Sisällön suojauskäytäntö (CSP): Hallitsee, mitä resursseja voidaan ladata, mikä estää luvattoman komentosarjan suorittamisen ja tietojen lisäämisen. [S1].
  • Strict-Transport-Security (HSTS): Varmistaa, että selain viestii vain suojattujen HTTPS-yhteyksien kautta [S2].
  • X-Frame-Options: Estää sovellusta hahmontamasta iframe-kehyksessä, joka on ensisijainen suojaus napsautuksia vastaan [S1].
  • X-Content-Type-Options: Estää selainta tulkitsemasta tiedostoja eri MIME-tyypeiksi kuin on määritetty, mikä estää MIME-haiskemisen hyökkäykset [S2].

Kuinka FixVibe testaa sitä

FixVibe voi havaita tämän analysoimalla verkkosovelluksen HTTP-vastausotsikot. Vertailemalla tuloksia MDN-observatorion standardeihin [S2], FixVibe voi merkitä puuttuvat tai väärin määritetyt otsikot, kuten CSP, ZXCVFIXVIBETOKEN4XFtionsme,- ja-

Korjaa

Päivitä verkkopalvelin (esim. Nginx, Apache) tai sovelluksen väliohjelmisto sisällyttämään seuraavat otsikot kaikkiin vastauksiin osana vakioturva-asentoa [S1]:

  • Content-Security-Policy: Rajoita resurssilähteet luotettuihin verkkotunnuksiin.
  • Strict-Transport-Security: Pakota HTTPS pitkällä max-age-koodilla.
  • X-Content-Type-Options: Aseta arvoon nosniff [S2].
  • X-Frame-Options: Aseta DENY tai SAMEORIGIN napsautusten estämiseksi [S1].