FixVibe
Covered by FixVibemedium

अपर्याप्त सुरक्षा हेडर कॉन्फ़िगरेशन

वेब एप्लिकेशन अक्सर आवश्यक सुरक्षा हेडर लागू करने में विफल रहते हैं, जिससे उपयोगकर्ता क्रॉस-साइट स्क्रिप्टिंग (XSS), क्लिकजैकिंग और डेटा इंजेक्शन के संपर्क में आ जाते हैं। स्थापित वेब सुरक्षा दिशानिर्देशों का पालन करके और एमडीएन वेधशाला जैसे ऑडिटिंग टूल का उपयोग करके, डेवलपर्स सामान्य ब्राउज़र-आधारित हमलों के खिलाफ अपने एप्लिकेशन को काफी सख्त कर सकते हैं।

CWE-693

प्रभाव

सुरक्षा हेडर की अनुपस्थिति हमलावरों को क्लिकजैकिंग करने, सत्र कुकीज़ चुराने या क्रॉस-साइट स्क्रिप्टिंग (ZXCVFIXVIBTOKEN2ZXCV) [S1] निष्पादित करने की अनुमति देती है। इन निर्देशों के बिना, ब्राउज़र सुरक्षा सीमाओं को लागू नहीं कर सकते, जिससे संभावित डेटा घुसपैठ और अनधिकृत उपयोगकर्ता गतिविधियाँ [S2] हो सकती हैं।

मूल कारण

यह समस्या मानक HTTP सुरक्षा हेडर को शामिल करने के लिए वेब सर्वर या एप्लिकेशन फ्रेमवर्क को कॉन्फ़िगर करने में विफलता से उत्पन्न होती है। जबकि विकास अक्सर कार्यात्मक HTML और CSS [S1] को प्राथमिकता देता है, सुरक्षा कॉन्फ़िगरेशन को अक्सर छोड़ दिया जाता है। एमडीएन वेधशाला जैसे ऑडिटिंग उपकरण इन लापता रक्षात्मक परतों का पता लगाने और यह सुनिश्चित करने के लिए डिज़ाइन किए गए हैं कि ब्राउज़र और सर्वर के बीच बातचीत सुरक्षित है [S2]।

तकनीकी विवरण

सुरक्षा हेडर सामान्य कमजोरियों को कम करने के लिए ब्राउज़र को विशिष्ट सुरक्षा निर्देश प्रदान करते हैं:

  • सामग्री सुरक्षा नीति (CSP): नियंत्रित करता है कि कौन से संसाधन लोड किए जा सकते हैं, अनधिकृत स्क्रिप्ट निष्पादन और डेटा इंजेक्शन [S1] को रोकता है।
  • सख्त-परिवहन-सुरक्षा (ZXCVFIXVIBTOKEN1ZXCV): यह सुनिश्चित करता है कि ब्राउज़र केवल सुरक्षित HTTPS कनेक्शन ZXCVFIXVIBTOKEN0ZXCV पर संचार करता है।
  • X-फ़्रेम-विकल्प: एप्लिकेशन को iframe में रेंडर होने से रोकता है, जो [S1] पर क्लिकजैकिंग के विरुद्ध प्राथमिक बचाव है।
  • X-सामग्री-प्रकार-विकल्प: ब्राउज़र को निर्दिष्ट MIME प्रकार से भिन्न MIME प्रकार के रूप में फ़ाइलों की व्याख्या करने से रोकता है, MIME-सूँघने वाले हमलों [S2] को रोकता है।

FixVibe इसका परीक्षण कैसे करता है

FixVibe एक वेब एप्लिकेशन के HTTP प्रतिक्रिया हेडर का विश्लेषण करके इसका पता लगा सकता है। एमडीएन वेधशाला मानकों [S2] के विरुद्ध परिणामों को बेंचमार्क करके, FixVibe CSP, HSTS, और X-Frame-Options जैसे गुम या गलत कॉन्फ़िगर किए गए हेडर को चिह्नित कर सकता है।

ठीक करें

मानक सुरक्षा स्थिति [S1] के भाग के रूप में सभी प्रतिक्रियाओं में निम्नलिखित हेडर शामिल करने के लिए वेब सर्वर (उदाहरण के लिए, Nginx, Apache) या एप्लिकेशन मिडलवेयर को अपडेट करें:

  • सामग्री-सुरक्षा-नीति: संसाधन स्रोतों को विश्वसनीय डोमेन तक सीमित करें।
  • सख्त-परिवहन-सुरक्षा: लंबे max-age के साथ HTTPS लागू करें।
  • X-सामग्री-प्रकार-विकल्प: ZXCVFIXVIBTOKEN0ZXCV [S2] पर सेट करें।
  • X-फ़्रेम-विकल्प: ZXCVFIXVIBTOKEN2ZXCV पर क्लिकजैकिंग को रोकने के लिए DENY या ZXCVFIXVIBTOKEN1ZXCV पर सेट करें।