FixVibe
Covered by FixVibemedium

Անվտանգության վերնագրի անբավարար կազմաձևում

Վեբ հավելվածները հաճախ չեն կարողանում կիրառել անվտանգության հիմնական վերնագրերը, ինչի հետևանքով օգտվողները ենթարկվում են միջկայքի սկրիպտավորման (XSS), սեղմակավորման և տվյալների ներարկման: Հետևելով վեբ անվտանգության հաստատված ուղեցույցներին և օգտագործելով աուդիտորական գործիքներ, ինչպիսիք են MDN աստղադիտարանը, ծրագրավորողները կարող են զգալիորեն խստացնել իրենց հավելվածները բրաուզերի վրա հիմնված սովորական հարձակումների դեմ:

CWE-693

Ազդեցություն

Անվտանգության վերնագրերի բացակայությունը թույլ է տալիս հարձակվողներին կատարել կտտոցների ջոկում, գողանալ նիստի թխուկները կամ կատարել միջկայքի սկրիպտավորում (XSS) [S1]: Առանց այս հրահանգների, զննարկիչները չեն կարող կիրառել անվտանգության սահմանները, ինչը հանգեցնում է տվյալների հնարավոր արտազատման և օգտվողի չարտոնված գործողությունների [S2]:

Արմատային պատճառ

Խնդիրը ծագում է վեբ սերվերների կամ կիրառական շրջանակների կազմաձևման ձախողումից՝ ստանդարտ HTTP անվտանգության վերնագրեր ներառելու համար: Թեև մշակումը հաճախ առաջնահերթություն է տալիս ֆունկցիոնալ HTML և CSS [S1]-ին, անվտանգության կոնֆիգուրացիան հաճախ բաց է թողնվում: Աուդիտորական գործիքները, ինչպիսին է MDN աստղադիտարանը, նախագծված են հայտնաբերելու այս բացակայող պաշտպանական շերտերը և ապահովելու զննարկչի և սերվերի միջև փոխգործակցությունը անվտանգ [S2]:

Տեխնիկական մանրամասներ

Անվտանգության վերնագրերը զննարկիչին տրամադրում են հատուկ անվտանգության հրահանգներ՝ ընդհանուր խոցելիությունը մեղմելու համար.

  • Բովանդակության անվտանգության քաղաքականություն (CSP): վերահսկում է, թե որ ռեսուրսները կարող են բեռնվել՝ կանխելով սկրիպտի չարտոնված կատարումը և տվյալների ներարկումը [S1]:
  • Strict-Transport-Security (HSTS): Ապահովում է, որ զննարկիչը հաղորդակցվում է միայն անվտանգ HTTPS միացումներով [S2]:
  • X-Frame-Options. Կանխում է հավելվածի ցուցադրումը iframe-ում, որը հանդիսանում է առաջնային պաշտպանություն [S1]-ի սեղմակավորման դեմ:
  • X-Content-Type-Options. Կանխում է զննարկիչին մեկնաբանելու ֆայլերը որպես այլ MIME տեսակի, քան նշված է, դադարեցնելով MIME-sniffing հարձակումները [S2]:

Ինչպես է FixVibe-ն փորձարկում դրա համար

FixVibe-ն կարող է դա հայտնաբերել՝ վերլուծելով վեբ հավելվածի HTTP պատասխանի վերնագրերը: Արդյունքները համեմատելով MDN աստղադիտարանի ստանդարտների հետ՝ [S2], FixVibe-ն կարող է նշել բացակայող կամ սխալ կազմաձևված վերնագրերը, ինչպիսիք են CSP, ZXCVFIXVIBETOKEN,-XCV, XCVFIXVIBETOKEN4ZX:

Ուղղել

Թարմացրեք վեբ սերվերը (օրինակ՝ Nginx, Apache) կամ հավելվածի միջին ծրագիրը՝ բոլոր պատասխաններում ներառելու հետևյալ վերնագրերը՝ որպես [S1] ստանդարտ անվտանգության դիրքի մաս.

  • Content-Security-Policy. Սահմանափակել ռեսուրսների աղբյուրները վստահելի տիրույթներով:
  • Strict-Transport-Security. Կիրառել HTTPS-ը երկար max-age-ով:
  • X-Content-Type-Options. Սահմանել nosniff [S2]:
  • X-Frame-Options. Սահմանեք DENY կամ SAMEORIGIN՝ [S1]-ի սեղմումը կանխելու համար: