გავლენა
უსაფრთხოებისთვის კრიტიკული კონფიგურაციების შეუსრულებლობამ შეიძლება ვებ აპლიკაციები დაუშვას ბრაუზერის დონის და ტრანსპორტის დონის რისკებს. ავტომატური სკანირების ხელსაწყოები დაგეხმარებათ ამ ხარვეზების იდენტიფიცირებაში იმის გაანალიზებით, თუ როგორ გამოიყენება ვებ სტანდარტები HTML, CSS და JavaScript [S1]-ში. ამ რისკების ადრეული იდენტიფიცირება დეველოპერებს საშუალებას აძლევს გაუმკლავდნენ კონფიგურაციის სისუსტეებს, სანამ ისინი გამოიყენებენ გარე ფაქტორებს [S1].
ძირეული მიზეზი
ამ დაუცველობის ძირითადი მიზეზი არის უსაფრთხოებისთვის კრიტიკული HTTP პასუხის სათაურების გამოტოვება ან ვებ სტანდარტების არასწორი კონფიგურაცია [S1]. დეველოპერებს შეუძლიათ აპლიკაციის ფუნქციონალობის პრიორიტეტი მიანიჭონ, ხოლო უგულებელყოთ ბრაუზერის დონის უსაფრთხოების ინსტრუქციები, რომლებიც საჭიროა თანამედროვე ვებ უსაფრთხოებისთვის [S1].
ბეტონის შესწორებები
- აუდიტის უსაფრთხოების კონფიგურაციები: რეგულარულად გამოიყენეთ სკანირების ხელსაწყოები, რათა გადაამოწმოთ უსაფრთხოებისთვის კრიტიკული სათაურებისა და კონფიგურაციების განხორციელება [S1] აპლიკაციაში.
- დაიცავით ვებ სტანდარტები: დარწმუნდით, რომ HTML, CSS და JavaScript-ის იმპლემენტაციები მიჰყვება უსაფრთხო კოდირების მითითებებს, როგორც ეს დოკუმენტირებულია ძირითადი ვებ პლატფორმების მიერ, რათა შეინარჩუნოს მტკიცე უსაფრთხოების პოზა [S1].
როგორ ამოწმებს მას FixVibe
FixVibe უკვე ფარავს ამას პასიური headers.security-headers სკანერის მოდულის მეშვეობით. ნორმალური პასიური სკანირების დროს, FixVibe იღებს სამიზნეს, როგორც ბრაუზერი და ამოწმებს root HTML პასუხს CSP, HSTS, X-Frame-Options, X-Content-Type,-Referlicy-Pomissions. დასკვნები რჩება პასიური და წყაროზე დაფუძნებული: სკანერი აცნობებს პასუხების ზუსტ სუსტ ან გამოტოვებულ სათაურს ექსპლოიტის დატვირთვის გაგზავნის გარეშე.