FixVibe
Covered by FixVibemedium

HTTP सुरक्षा हेडर: ब्राउज़र-साइड डिफेंस के लिए CSP और HSTS लागू करना

यह शोध वेब अनुप्रयोगों को क्रॉस-साइट स्क्रिप्टिंग (XSS) और प्रोटोकॉल डाउनग्रेड हमलों जैसी सामान्य कमजोरियों से बचाने में HTTP सुरक्षा हेडर, विशेष रूप से सामग्री सुरक्षा नीति (CSP) और HTTP सख्त परिवहन सुरक्षा (HSTS) की महत्वपूर्ण भूमिका की पड़ताल करता है।

CWE-1021CWE-79CWE-319

सुरक्षा शीर्षलेखों की भूमिका

HTTP सुरक्षा हेडर एक सत्र [S1] [S2] के दौरान ब्राउज़रों को विशिष्ट सुरक्षा नीतियों को लागू करने का निर्देश देने के लिए वेब अनुप्रयोगों के लिए एक मानकीकृत तंत्र प्रदान करते हैं। ये हेडर गहराई से रक्षा की एक महत्वपूर्ण परत के रूप में कार्य करते हैं, उन जोखिमों को कम करते हैं जिन्हें केवल एप्लिकेशन लॉजिक द्वारा पूरी तरह से संबोधित नहीं किया जा सकता है।

सामग्री सुरक्षा नीति (CSP)

सामग्री सुरक्षा नीति (CSP) एक सुरक्षा परत है जो क्रॉस-साइट स्क्रिप्टिंग (XSS) और डेटा इंजेक्शन हमलों [S1] सहित कुछ प्रकार के हमलों का पता लगाने और उन्हें कम करने में मदद करती है। एक नीति को परिभाषित करके जो निर्दिष्ट करती है कि कौन से गतिशील संसाधनों को लोड करने की अनुमति है, CSP ब्राउज़र को एक हमलावर [S1] द्वारा इंजेक्ट की गई दुर्भावनापूर्ण स्क्रिप्ट को निष्पादित करने से रोकता है। यह प्रभावी रूप से अनधिकृत कोड के निष्पादन को प्रतिबंधित करता है, भले ही एप्लिकेशन में कोई इंजेक्शन भेद्यता मौजूद हो।

HTTP सख्त परिवहन सुरक्षा (HSTS)

HTTP स्ट्रिक्ट ट्रांसपोर्ट सिक्योरिटी (HSTS) एक ऐसा तंत्र है जो एक वेबसाइट को ब्राउज़रों को सूचित करने की अनुमति देता है कि इसे HTTP [S2] के बजाय केवल HTTPS का उपयोग करके एक्सेस किया जाना चाहिए। यह यह सुनिश्चित करके प्रोटोकॉल डाउनग्रेड हमलों और कुकी अपहरण से बचाता है कि क्लाइंट और सर्वर के बीच सभी संचार एन्क्रिप्टेड [S2] हैं। एक बार जब कोई ब्राउज़र इस हेडर को प्राप्त कर लेता है, तो यह स्वचालित रूप से HTTP के माध्यम से साइट तक पहुंचने के सभी बाद के प्रयासों को HTTPS अनुरोधों में परिवर्तित कर देगा।

गुम हेडर के सुरक्षा निहितार्थ

जो एप्लिकेशन इन हेडर को लागू करने में विफल रहते हैं, उनमें क्लाइंट-साइड समझौता का जोखिम काफी अधिक होता है। सामग्री सुरक्षा नीति की अनुपस्थिति अनधिकृत स्क्रिप्ट के निष्पादन की अनुमति देती है, जिससे सत्र अपहरण, अनधिकृत डेटा घुसपैठ या विरूपण [S1] हो सकता है। इसी तरह, HSTS हेडर की कमी उपयोगकर्ताओं को मैन-इन-द-मिडिल (MITM) हमलों के प्रति संवेदनशील बनाती है, विशेष रूप से प्रारंभिक कनेक्शन चरण के दौरान, जहां एक हमलावर ट्रैफ़िक को रोक सकता है और उपयोगकर्ता को साइट [S2] के दुर्भावनापूर्ण या अनएन्क्रिप्टेड संस्करण पर रीडायरेक्ट कर सकता है।

FixVibe इसका परीक्षण कैसे करता है

FixVibe में इसे पहले से ही एक निष्क्रिय स्कैन जांच के रूप में शामिल किया गया है। headers.security-headers, Content-Security-Policy, Strict-Transport-Security, X-Frame-Options या frame-ancestors, X-Content-Type-Options की उपस्थिति और ताकत के लिए सार्वजनिक HTTP प्रतिक्रिया मेटाडेटा का निरीक्षण करता है। Referrer-Policy, और ZXCVFIXVIBTOKEN7ZXCV। यह शोषण जांच के बिना लापता या कमजोर मानों की रिपोर्ट करता है, और इसका फिक्स प्रॉम्प्ट सामान्य ऐप और सीडीएन सेटअप के लिए तैनाती-तैयार हेडर उदाहरण देता है।

निवारण मार्गदर्शन

सुरक्षा स्थिति में सुधार के लिए, वेब सर्वर को सभी उत्पादन मार्गों पर इन हेडर को वापस करने के लिए कॉन्फ़िगर किया जाना चाहिए। स्क्रिप्ट निष्पादन वातावरण [S1] को सीमित करने के लिए script-src और object-src जैसे निर्देशों का उपयोग करके एक मजबूत ZXCVFIXVIBTOKEN6ZXCV को एप्लिकेशन की विशिष्ट संसाधन आवश्यकताओं के अनुरूप बनाया जाना चाहिए। परिवहन सुरक्षा के लिए, Strict-Transport-Security हेडर को उपयोगकर्ता सत्र [S2] में लगातार सुरक्षा सुनिश्चित करने के लिए उचित max-age निर्देश के साथ सक्षम किया जाना चाहिए।