FixVibe
Covered by FixVibemedium

Nem megfelelő biztonsági fejléc konfiguráció

A webalkalmazások gyakran nem valósítják meg az alapvető biztonsági fejléceket, így a felhasználók ki vannak téve a helyek közötti szkriptelésnek (XSS), a kattintásfeltörésnek és az adatbefecskendezésnek. A megállapított webbiztonsági irányelvek követésével és az olyan auditáló eszközök használatával, mint az MDN Observatory, a fejlesztők jelentősen megerősíthetik alkalmazásaikat a gyakori böngészőalapú támadásokkal szemben.

CWE-693

Hatás

A biztonsági fejlécek hiánya lehetővé teszi a támadók számára, hogy kattintástörést hajtsanak végre, munkamenet-cookie-kat lopjanak el, vagy webhelyek közötti szkripteket hajtsanak végre (XSS) [S1]. Ezen utasítások nélkül a böngészők nem tudják érvényesíteni a biztonsági határokat, ami potenciálisan adatszivárgáshoz és jogosulatlan felhasználói műveletekhez vezethet. [S2].

Kiváltó ok

A probléma abból adódik, hogy a webszervereket vagy az alkalmazás-keretrendszereket nem sikerült úgy konfigurálni, hogy azok tartalmazzák a szabványos HTTP biztonsági fejléceket. Míg a fejlesztés gyakran előnyben részesíti a funkcionális HTML-t és a CSS-t [S1], a biztonsági konfigurációkat gyakran kihagyják. Az olyan auditáló eszközök, mint az MDN Observatory, úgy vannak kialakítva, hogy észleljék ezeket a hiányzó védelmi rétegeket, és biztosítsák a böngésző és a szerver közötti interakció biztonságosságát. [S2].

Műszaki adatok

A biztonsági fejlécek speciális biztonsági utasításokkal látják el a böngészőt a gyakori sebezhetőségek enyhítésére:

  • Tartalombiztonsági szabályzat (CSP): Szabályozza, hogy mely erőforrások tölthetők be, megakadályozva a jogosulatlan szkript-végrehajtást és az adatbefecskendezést. [S1].
  • Strict-Transport-Security (HSTS): Biztosítja, hogy a böngésző csak biztonságos HTTPS-kapcsolaton keresztül kommunikáljon [S2].
  • X-Frame-Options: Megakadályozza, hogy az alkalmazás iframe-ben jelenjen meg, ami elsődleges védelem a kattintástörés ellen. [S1].
  • X-Content-Type-Options: Megakadályozza, hogy a böngésző a megadotttól eltérő MIME-típusként értelmezze a fájlokat, így leállítja a MIME-szippantó támadásokat [S2].

Hogyan teszteli a FixVibe

A FixVibe ezt egy webalkalmazás HTTP-válaszfejléceinek elemzésével észlelheti. Az eredmények összehasonlítása az MDN Observatory szabványokkal, a [S2], FixVibe megjelölheti a hiányzó vagy rosszul konfigurált fejléceket, mint például a CSP, ZXCVFIXVIBETOKEN4XFTIONSme és-

Javítás

Frissítse a webszervert (pl. Nginx, Apache) vagy az alkalmazás köztesszoftvert, hogy a következő fejléceket minden válaszba belefoglalja egy szabványos biztonsági helyzet [S1] részeként:

  • Content-Security-Policy: Az erőforrás-források korlátozása megbízható tartományokra.
  • Strict-Transport-Security: kényszerítse ki a HTTPS-t hosszú max-age-vel.
  • X-Content-Type-Options: Állítsa be a nosniff [S2] értékre.
  • X-Frame-Options: Állítsa a DENY vagy SAMEORIGIN értékre, hogy megakadályozza a kattintástörést [S1].