FixVibe
Covered by FixVibemedium

Hindi Sapat na Security Header Configuration

Ang mga web application ay madalas na hindi nagpapatupad ng mga mahahalagang header ng seguridad, na nag-iiwan sa mga user na nakalantad sa cross-site scripting (XSS), clickjacking, at data injection. Sa pamamagitan ng pagsunod sa mga itinatag na alituntunin sa seguridad sa web at paggamit ng mga tool sa pag-audit tulad ng MDN Observatory, maaaring patigasin ng mga developer ang kanilang mga application laban sa mga karaniwang pag-atake na nakabatay sa browser.

CWE-693

Epekto

Ang kawalan ng mga header ng seguridad ay nagpapahintulot sa mga umaatake na magsagawa ng clickjacking, magnakaw ng cookies ng session, o magsagawa ng cross-site scripting (XSS) [S1]. Kung wala ang mga tagubiling ito, hindi maipapatupad ng mga browser ang mga hangganan ng seguridad, na humahantong sa potensyal na pag-exfiltrate ng data at hindi awtorisadong pagkilos ng user [S2].

Root Cause

Ang isyu ay nagmumula sa kabiguang i-configure ang mga web server o application framework upang isama ang mga karaniwang header ng seguridad ng HTTP. Bagama't madalas na inuuna ng development ang functional HTML at CSS [S1], ang mga configuration ng seguridad ay madalas na inaalis. Ang mga tool sa pag-audit tulad ng MDN Observatory ay idinisenyo upang matukoy ang mga nawawalang defensive layer na ito at tiyaking secure ang pakikipag-ugnayan sa pagitan ng browser at server [S2].

Mga Detalye ng Teknikal

Ang mga header ng seguridad ay nagbibigay sa browser ng mga partikular na direktiba sa seguridad upang mabawasan ang mga karaniwang kahinaan:

  • Patakaran sa Seguridad ng Nilalaman (CSP): Kinokontrol kung aling mga mapagkukunan ang maaaring i-load, na pumipigil sa hindi awtorisadong pagpapatupad ng script at pag-iniksyon ng data [S1].
  • Strict-Transport-Security (HSTS): Tinitiyak na ang browser ay nakikipag-ugnayan lamang sa mga secure na HTTPS na koneksyon [S2].
  • X-Frame-Options: Pinipigilan ang application na mai-render sa isang iframe, na isang pangunahing depensa laban sa clickjacking [S1].
  • X-Content-Type-Options: Pinipigilan ang browser na bigyang-kahulugan ang mga file bilang ibang uri ng MIME kaysa sa tinukoy, na humihinto sa mga pag-atake ng MIME-sniffing [S2].

Paano sinusuri ito ng FixVibe

Maaaring matukoy ito ng FixVibe sa pamamagitan ng pagsusuri sa mga header ng tugon ng HTTP ng isang web application. Sa pamamagitan ng pag-benchmark ng mga resulta laban sa mga pamantayan ng MDN Observatory na [S2], maaaring i-flag ng FixVibe ang mga nawawala o na-misconfigure na header gaya ng CSP, HSTS, at- XXCV.

Ayusin

I-update ang web server (hal., Nginx, Apache) o application middleware upang isama ang mga sumusunod na header sa lahat ng mga tugon bilang bahagi ng isang karaniwang postura ng seguridad [S1]:

  • Content-Security-Policy: Limitahan ang mga mapagkukunan ng mapagkukunan sa mga pinagkakatiwalaang domain.
  • Strict-Transport-Security: Ipatupad ang HTTPS na may mahabang max-age.
  • X-Content-Type-Options: Itakda sa nosniff [S2].
  • X-Frame-Options: Itakda sa DENY o SAMEORIGIN upang maiwasan ang clickjacking [S1].