FixVibe
Covered by FixVibemedium

Konfigurasi Header Keamanan Tidak Memadai

Aplikasi web sering kali gagal mengimplementasikan header keamanan penting, membuat pengguna terkena skrip lintas situs (XSS), clickjacking, dan injeksi data. Dengan mengikuti pedoman keamanan web yang telah ditetapkan dan menggunakan alat audit seperti MDN Observatory, pengembang dapat secara signifikan memperkuat aplikasi mereka terhadap serangan umum berbasis browser.

CWE-693

Dampak

Tidak adanya header keamanan memungkinkan penyerang melakukan clickjacking, mencuri cookie sesi, atau mengeksekusi skrip lintas situs (XSS) [S1]. Tanpa instruksi ini, browser tidak dapat menerapkan batasan keamanan, yang menyebabkan potensi eksfiltrasi data dan tindakan pengguna yang tidak sah [S2].

Akar Penyebab

Masalah ini berasal dari kegagalan mengonfigurasi server web atau kerangka aplikasi untuk menyertakan header keamanan HTTP standar. Meskipun pengembangan sering kali memprioritaskan HTML fungsional dan CSS [S1], konfigurasi keamanan sering kali dihilangkan. Alat audit seperti Observatorium MDN dirancang untuk mendeteksi lapisan pertahanan yang hilang ini dan memastikan interaksi antara browser dan server aman.

Detail Teknis

Header keamanan memberi browser arahan keamanan khusus untuk mengurangi kerentanan umum:

  • Kebijakan Keamanan Konten (CSP): Mengontrol sumber daya mana yang dapat dimuat, mencegah eksekusi skrip dan injeksi data yang tidak sah [S1].
  • Keamanan Transportasi Ketat (HSTS): Memastikan browser hanya berkomunikasi melalui koneksi HTTPS yang aman [S2].
  • X-Frame-Options: Mencegah aplikasi dirender dalam iframe, yang merupakan pertahanan utama terhadap clickjacking [S1].
  • X-Content-Type-Options: Mencegah browser menafsirkan file sebagai jenis MIME yang berbeda dari yang ditentukan, menghentikan serangan sniffing MIME [S2].

Bagaimana FixVibe mengujinya

FixVibe dapat mendeteksi ini dengan menganalisis header respons HTTP aplikasi web. Dengan membandingkan hasil dengan standar Observatorium MDN [S2], FixVibe dapat menandai header yang hilang atau salah dikonfigurasi seperti CSP, HSTS, dan X-Frame-Options.

Perbaiki

Perbarui server web (misalnya, Nginx, Apache) atau middleware aplikasi untuk menyertakan header berikut dalam semua respons sebagai bagian dari postur keamanan standar [S1]:

  • Kebijakan-Keamanan-Konten: Batasi sumber sumber daya hanya pada domain tepercaya.
  • Keamanan Transportasi Ketat: Terapkan HTTPS dengan max-age yang panjang.
  • X-Content-Type-Options: Setel ke nosniff [S2].
  • X-Frame-Options: Atur ke DENY atau SAMEORIGIN untuk mencegah clickjacking [S1].