השפעה
כישלון ביישום תצורות קריטיות לאבטחה עלול להשאיר יישומי אינטרנט חשופים לסיכונים ברמת הדפדפן וברמת התחבורה. כלי סריקה אוטומטיים עוזרים לזהות פערים אלה על ידי ניתוח האופן שבו תקני אינטרנט מיושמים ב-HTML, CSS ו-JavaScript [S1]. זיהוי מוקדם של סיכונים אלו מאפשר למפתחים לטפל בחולשות התצורה לפני שניתן יהיה למנף אותן על ידי גורמים חיצוניים [S1].
סיבת שורש
הגורם העיקרי לפגיעויות אלו הוא השמטת כותרות תגובת HTTP קריטיות לאבטחה או תצורה לא נכונה של תקני אינטרנט [S1]. מפתחים עשויים לתעדף את פונקציונליות האפליקציה תוך התעלמות מהוראות האבטחה ברמת הדפדפן הנדרשות לבטיחות אינטרנט מודרנית [S1].
תיקוני בטון
- בדיקת תצורות אבטחה: השתמש בקביעות בכלי סריקה כדי לאמת את היישום של כותרות ותצורות קריטיות לאבטחה על פני היישום [S1].
- דבק בתקני אינטרנט: ודא שהטמעות HTML, CSS ו-JavaScript עוקבות אחר הנחיות קידוד מאובטח כפי שתועדו על ידי פלטפורמות אינטרנט גדולות כדי לשמור על יציבות אבטחה איתנה [S1].
כיצד FixVibe בודק את זה
FixVibe כבר מכסה זאת דרך מודול הסורק הפאסיבי headers.security-headers. במהלך סריקה פסיבית רגילה, FixVibe מאחזר את היעד כמו דפדפן ובודק את תגובת ה-HTML הבסיסית עבור CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Permission-Policy, ו-Referrer-Policy. הממצאים נשארים פסיביים ומבוססים על מקור: הסורק מדווח על כותרת התגובה החלשה או החסרה המדויקת מבלי לשלוח מטענים מנצלים.