FixVibe
Covered by FixVibemedium

Header Keamanan HTTP: Menerapkan CSP dan HSTS untuk Pertahanan Sisi Browser

Penelitian ini mengeksplorasi peran penting header keamanan HTTP, khususnya Kebijakan Keamanan Konten (CSP) dan Keamanan Transportasi Ketat HTTP (HSTS), dalam melindungi aplikasi web dari kerentanan umum seperti Cross-Site Scripting (XSS) dan serangan penurunan versi protokol.

CWE-1021CWE-79CWE-319

Peran Header Keamanan

Header keamanan HTTP menyediakan mekanisme standar untuk aplikasi web untuk menginstruksikan browser untuk menerapkan kebijakan keamanan tertentu selama sesi [S1] [S2]. Header ini bertindak sebagai lapisan pertahanan mendalam yang penting, memitigasi risiko yang mungkin tidak sepenuhnya ditangani oleh logika aplikasi saja.

Kebijakan Keamanan Konten (CSP)

Kebijakan Keamanan Konten (CSP) adalah lapisan keamanan yang membantu mendeteksi dan mengurangi jenis serangan tertentu, termasuk Cross-Site Scripting (XSS) dan serangan injeksi data [S1]. Dengan menentukan kebijakan yang menentukan sumber daya dinamis mana yang diizinkan untuk dimuat, CSP mencegah browser mengeksekusi skrip berbahaya yang disuntikkan oleh penyerang [S1]. Ini secara efektif membatasi eksekusi kode yang tidak sah meskipun ada kerentanan injeksi dalam aplikasi.

Keamanan Transportasi Ketat HTTP (HSTS)

Keamanan Transportasi Ketat HTTP (HSTS) adalah mekanisme yang memungkinkan situs web memberi tahu browser bahwa situs tersebut hanya boleh diakses menggunakan HTTPS, bukan HTTP [S2]. Ini melindungi terhadap serangan penurunan versi protokol dan pembajakan cookie dengan memastikan bahwa semua komunikasi antara klien dan server dienkripsi [S2]. Setelah browser menerima header ini, browser akan secara otomatis mengubah semua upaya selanjutnya untuk mengakses situs melalui HTTP menjadi permintaan HTTPS.

Implikasi Keamanan dari Header yang Hilang

Aplikasi yang gagal mengimplementasikan header ini memiliki risiko kompromi sisi klien yang jauh lebih tinggi. Tidak adanya Kebijakan Keamanan Konten memungkinkan eksekusi skrip yang tidak sah, yang dapat menyebabkan pembajakan sesi, eksfiltrasi data yang tidak sah, atau perusakan [S1]. Demikian pula, kurangnya header HSTS membuat pengguna rentan terhadap serangan man-in-the-middle (MITM), terutama selama fase koneksi awal, di mana penyerang dapat mencegat lalu lintas dan mengarahkan pengguna ke versi situs [S2] yang berbahaya atau tidak terenkripsi.

Bagaimana FixVibe mengujinya

FixVibe sudah menyertakan ini sebagai pemeriksaan pemindaian pasif. headers.security-headers memeriksa metadata respons HTTP publik untuk mengetahui keberadaan dan kekuatan Content-Security-Policy, Strict-Transport-Security, X-Frame-Options atau frame-ancestors, X-Content-Type-Options, Referrer-Policy, dan Permissions-Policy. Ia melaporkan nilai yang hilang atau lemah tanpa pemeriksaan eksploitasi, dan perintah perbaikannya memberikan contoh header yang siap diterapkan untuk aplikasi umum dan penyiapan CDN.

Panduan Remediasi

Untuk meningkatkan postur keamanan, server web harus dikonfigurasi untuk mengembalikan header ini di semua rute produksi. CSP yang kuat harus disesuaikan dengan kebutuhan sumber daya spesifik aplikasi, menggunakan arahan seperti script-src dan object-src untuk membatasi lingkungan eksekusi skrip [S1]. Untuk keamanan transportasi, header Strict-Transport-Security harus diaktifkan dengan direktif max-age yang sesuai untuk memastikan perlindungan terus-menerus di seluruh sesi pengguna [S2].