השפעה
תוקפים יכולים לנצל את היעדר כותרות אבטחה כדי לבצע סקריפטים חוצי אתרים (XSS), חטיפת קליקים והתקפות מחשב באמצע [S1][S3]. ללא הגנות אלו, ניתן לסנן נתוני משתמש רגישים, ושלמות האפליקציה עלולה להיפגע על ידי סקריפטים זדוניים המוזרקים לסביבת הדפדפן [S3].
סיבת שורש
כלי פיתוח מונעי AI נותנים לעתים קרובות עדיפות לקוד פונקציונלי על פני תצורות אבטחה. כתוצאה מכך, תבניות רבות שנוצרו על ידי AI משמיטות כותרות תגובת HTTP קריטיות שעליהן מסתמכים דפדפנים מודרניים להגנה מעמיקה על [S1]. יתר על כן, היעדר בדיקות אבטחת יישומים משולבות (DAST) במהלך שלב הפיתוח פירושו שפערי תצורה אלו מזוהים לעתים רחוקות לפני הפריסה [S2].
תיקוני בטון
- הטמע כותרות אבטחה: הגדר את שרת האינטרנט או את מסגרת היישום כך שיכלול
Content-Security-Policy,Strict-Transport-Security,X-Frame-Optionsו-X-Content-Type-Options[S1]. - ניקוד אוטומטי: השתמש בכלים המספקים ניקוד אבטחה המבוסס על נוכחות ועוצמה של כותרות כדי לשמור על תנוחת אבטחה גבוהה [S1].
- סריקה רציפה: שלב סורקי פגיעות אוטומטיים בצינור ה-CI/CD כדי לספק נראות מתמשכת למשטח ההתקפה של היישום [S2].
כיצד FixVibe בודק את זה
FixVibe כבר מכסה זאת דרך מודול הסורק הפאסיבי headers.security-headers. במהלך סריקה פסיבית רגילה, FixVibe מאחזר את היעד כמו דפדפן ובודק תגובות HTML וחיבור משמעותיות עבור CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Polic,Referrer-Polic. המודול גם מסמן מקורות סקריפטים חלשים של CSP ומונע תוצאות חיוביות שגויות ב-JSON, 204, הפניה מחדש ותגובות שגיאה שבהן לא חלות כותרות למסמכים בלבד.