A biztonsági fejlécek szerepe
A HTTP biztonsági fejlécek szabványosított mechanizmust biztosítanak a webalkalmazások számára, amelyek arra utasítják a böngészőket, hogy bizonyos biztonsági házirendeket hajtsanak végre egy munkamenet során. [S1] [S2]. Ezek a fejlécek a mélyreható védelem kritikus rétegeként működnek, csökkentve azokat a kockázatokat, amelyeket önmagában az alkalmazáslogika nem képes teljes mértékben kezelni.
Tartalombiztonsági szabályzat (CSP)
A tartalombiztonsági házirend (CSP) egy biztonsági réteg, amely segít bizonyos típusú támadások észlelésében és mérséklésében, beleértve a Cross-Site Scripting (XSS) és a [S1] adatbeviteli támadásokat. A CSP olyan házirend meghatározásával, amely meghatározza, hogy mely dinamikus erőforrások tölthetők be, megakadályozza, hogy a böngésző a támadó által beoltott rosszindulatú parancsfájlokat hajtson végre [S1]. Ez hatékonyan korlátozza a jogosulatlan kódok végrehajtását még akkor is, ha az alkalmazásban injekciós biztonsági rés található.
HTTP Strict Transport Security (HSTS)
A HTTP Strict Transport Security (HSTS) egy olyan mechanizmus, amely lehetővé teszi a webhelyek számára, hogy tájékoztassák a böngészőket arról, hogy a HTTP [S2] helyett csak HTTPS használatával szabad elérni. Ez védelmet nyújt a protokoll leminősítésével és a cookie-k eltérítésével szemben, mivel biztosítja, hogy az ügyfél és a szerver közötti minden kommunikáció titkosítva legyen. [S2]. Amint egy böngésző megkapja ezt a fejlécet, automatikusan HTTPS-kérésekké konvertálja a webhely HTTP-n keresztüli elérésére irányuló összes további kísérletet.
A hiányzó fejlécek biztonsági következményei
Azok az alkalmazások, amelyek nem valósítják meg ezeket a fejléceket, lényegesen nagyobb kockázatnak vannak kitéve az ügyféloldali kompromisszumoknak. A Tartalombiztonsági szabályzat hiánya lehetővé teszi a jogosulatlan szkriptek futtatását, ami munkamenet-eltérítéshez, jogosulatlan adatok kiszűréséhez vagy megrontásához vezethet. [S1]. Hasonlóképpen, a HSTS fejléc hiánya a felhasználókat ki van téve a középső (MITM) támadásokra, különösen a kezdeti kapcsolódási szakaszban, amikor a támadó elfoghatja a forgalmat, és átirányíthatja a felhasználót a [S2] webhely rosszindulatú vagy titkosítatlan verziójára.
Hogyan teszteli a FixVibe
A FixVibe ezt már tartalmazza passzív szkennelési ellenőrzésként. A headers.security-headers ellenőrzi a nyilvános HTTP-válasz metaadatokat a Content-Security-Policy, Strict-Transport-Security, X-Frame-Options vagy ZXCVFIXVIBETOKEN4ZXVCENVIXVIXVIX, ZXCVCEN4ZXCVX, Strict-Transport-Security, Strict-Transport-Security Referrer-Policy és Permissions-Policy. A hiányzó vagy gyenge értékeket kihasználó próbák nélkül jelenti, a javítási prompt pedig telepítésre kész fejléceket ad a gyakori alkalmazás- és CDN-beállításokhoz.
Kármentesítési útmutató
A biztonsági helyzet javítása érdekében a webszervereket úgy kell konfigurálni, hogy ezeket a fejléceket minden termelési útvonalon visszaadják. A robusztus CSP-t az alkalmazás specifikus erőforrás-követelményeihez kell igazítani, olyan direktívák használatával, mint a script-src és a object-src a szkript-végrehajtási környezetek [S1] korlátozása érdekében. A szállítás biztonsága érdekében a Strict-Transport-Security fejlécet engedélyezni kell egy megfelelő max-age direktívával, hogy a [S2] felhasználói munkamenetek során állandó védelmet biztosítson.