Ang Tungkulin ng Mga Header ng Seguridad
Ang mga header ng seguridad ng HTTP ay nagbibigay ng isang standardized na mekanismo para sa mga web application upang turuan ang mga browser na ipatupad ang mga partikular na patakaran sa seguridad sa panahon ng isang session [S1] [S2]. Ang mga header na ito ay gumaganap bilang isang kritikal na layer ng depensa-sa-depth, nagpapagaan ng mga panganib na maaaring hindi ganap na matugunan ng application logic lamang.
Patakaran sa Seguridad ng Nilalaman (CSP)
Ang Patakaran sa Seguridad ng Nilalaman (CSP) ay isang layer ng seguridad na tumutulong sa pagtukoy at pag-iwas sa ilang partikular na uri ng pag-atake, kabilang ang Cross-Site Scripting (XSS) at mga pag-atake ng iniksyon ng data na [S1]. Sa pamamagitan ng pagtukoy sa isang patakaran na tumutukoy kung aling mga dynamic na mapagkukunan ang pinapayagang mag-load, pinipigilan ng CSP ang browser na magsagawa ng mga nakakahamak na script na ini-inject ng isang attacker na [S1]. Ito ay epektibong naghihigpit sa pagpapatupad ng hindi awtorisadong code kahit na mayroong kahinaan sa pag-iniksyon sa application.
HTTP Strict Transport Security (HSTS)
Ang HTTP Strict Transport Security (HSTS) ay isang mekanismo na nagbibigay-daan sa isang website na ipaalam sa mga browser na dapat lang itong ma-access gamit ang HTTPS, sa halip na HTTP [S2]. Pinoprotektahan nito ang mga pag-atake sa pag-downgrade ng protocol at pag-hijack ng cookie sa pamamagitan ng pagtiyak na ang lahat ng komunikasyon sa pagitan ng kliyente at ng server ay naka-encrypt na [S2]. Kapag natanggap ng isang browser ang header na ito, awtomatiko nitong iko-convert ang lahat ng kasunod na pagtatangka na i-access ang site sa pamamagitan ng HTTP sa mga kahilingan sa HTTPS.
Mga Implikasyon sa Seguridad ng mga Nawawalang Header
Ang mga application na nabigong ipatupad ang mga header na ito ay nasa mas mataas na peligro ng kompromiso sa panig ng kliyente. Ang kawalan ng Patakaran sa Seguridad ng Nilalaman ay nagbibigay-daan para sa pagpapatupad ng mga hindi awtorisadong script, na maaaring humantong sa pag-hijack ng session, hindi awtorisadong pag-exfiltrate ng data, o defacement [S1]. Katulad nito, ang kakulangan ng header ng HSTS ay nag-iiwan sa mga user na madaling kapitan sa mga pag-atake ng man-in-the-middle (MITM), lalo na sa yugto ng paunang koneksyon, kung saan maaaring harangin ng isang attacker ang trapiko at i-redirect ang user sa isang nakakahamak o hindi naka-encrypt na bersyon ng site na [S2].
Paano sinusuri ito ng FixVibe
Kasama na ito sa FixVibe bilang passive scan check. Sinisiyasat ng headers.security-headers ang metadata ng pagtugon ng pampublikong HTTP para sa presensya at lakas ng Content-Security-Policy, Strict-Transport-Security, X-Frame-Options o ZXCVFIXVIBETOKEN4ZCVIBETOKEN4ZXCVIX, frame-ancestors5, ZXCVFIXVIBETOKEN Referrer-Policy, at Permissions-Policy. Nag-uulat ito ng mga nawawala o mahihinang value nang walang exploit probe, at ang prompt ng pag-aayos nito ay nagbibigay ng mga halimbawa ng header na handa sa pag-deploy para sa mga karaniwang pag-setup ng app at CDN.
Gabay sa Remediation
Upang mapabuti ang postura ng seguridad, dapat na i-configure ang mga web server upang ibalik ang mga header na ito sa lahat ng mga ruta ng produksyon. Ang isang matatag na CSP ay dapat na iangkop sa mga partikular na kinakailangan sa mapagkukunan ng application, gamit ang mga direktiba tulad ng script-src at object-src upang limitahan ang mga script execution environment na [S1]. Para sa seguridad sa transportasyon, ang Strict-Transport-Security header ay dapat na pinagana na may naaangkop na max-age na direktiba upang matiyak ang patuloy na proteksyon sa mga session ng user na [S2].