FixVibe
Covered by FixVibemedium

Neadekvatna konfiguracija sigurnosnog zaglavlja

Web aplikacije često ne uspijevaju implementirati bitna sigurnosna zaglavlja, ostavljajući korisnike izloženima skriptiranju na više stranica (XSS), pljačkanju klikova i ubacivanju podataka. Slijedeći utvrđene sigurnosne smjernice za web i koristeći alate za reviziju kao što je MDN Observatory, programeri mogu značajno ojačati svoje aplikacije protiv uobičajenih napada temeljenih na pregledniku.

CWE-693

Utjecaj

Odsutnost sigurnosnih zaglavlja omogućuje napadačima da izvedu clickjacking, ukradu kolačiće sesije ili izvrše skriptiranje između stranica (XSS) [S1]. Bez ovih uputa, preglednici ne mogu nametnuti sigurnosne granice, što dovodi do potencijalne krađe podataka i neovlaštenih radnji korisnika [S2].

Glavni uzrok

Problem proizlazi iz neuspjeha u konfiguriranju web poslužitelja ili aplikacijskih okvira za uključivanje standardnih HTTP sigurnosnih zaglavlja. Dok razvoj često daje prioritet funkcionalnom HTML-u i CSS-u [S1], sigurnosne konfiguracije često su izostavljene. Alati za reviziju kao što je MDN Observatory dizajnirani su za otkrivanje ovih obrambenih slojeva koji nedostaju i osiguravaju da je interakcija između preglednika i poslužitelja sigurna [S2].

Tehnički detalji

Sigurnosna zaglavlja pregledniku daju posebne sigurnosne upute za ublažavanje uobičajenih ranjivosti:

  • Politika sigurnosti sadržaja (CSP): Kontrolira koji se resursi mogu učitati, sprječavajući neovlašteno izvršavanje skripte i ubacivanje podataka [S1].
  • Strict-Transport-Security (HSTS): Osigurava da preglednik komunicira samo preko sigurnih HTTPS veza [S2].
  • X-Frame-Options: Sprječava renderiranje aplikacije u iframeu, što je primarna obrana od clickjackinga [S1].
  • X-Content-Type-Options: Sprječava preglednik da interpretira datoteke kao različite MIME vrste od onih koje su specificirane, zaustavljajući MIME-njuškanje napada [S2].

Kako FixVibe to testira

FixVibe bi to mogao otkriti analizom zaglavlja HTTP odgovora web aplikacije. Usporedbom rezultata sa standardima MDN Observatorija [S2], FixVibe može označiti nedostajuća ili pogrešno konfigurirana zaglavlja kao što su CSP, HSTS i X-Frame-Options.

Popravi

Ažurirajte web poslužitelj (npr. Nginx, Apache) ili međuprogram aplikacije kako biste uključili sljedeća zaglavlja u sve odgovore kao dio standardne sigurnosne postavke [S1]:

  • Content-Security-Policy: Ograničite izvore resursa na pouzdane domene.
  • Strict-Transport-Security: Nametnite HTTPS s dugim max-age.
  • X-Content-Type-Options: Postavite na nosniff [S2].
  • X-Frame-Options: Postavite na DENY ili SAMEORIGIN kako biste spriječili clickjacking [S1].