FixVibe
Covered by FixVibemedium

HTTP უსაფრთხოების სათაურები: CSP და HSTS დანერგვა ბრაუზერის მხარის დაცვისთვის

ეს კვლევა იკვლევს HTTP უსაფრთხოების სათაურების კრიტიკულ როლს, კერძოდ, კონტენტის უსაფრთხოების პოლიტიკას (CSP) და HTTP მკაცრი სატრანსპორტო უსაფრთხოებას (HSTS), ვებ აპლიკაციების დაცვაში ჩვეულებრივი მოწყვლადობისაგან, როგორიცაა Cross-Site სკრიპტირება (ZXBCOLVZECV0) და ქვემოთ. თავდასხმები.

CWE-1021CWE-79CWE-319

უსაფრთხოების სათაურების როლი

HTTP უსაფრთხოების სათაურები უზრუნველყოფს სტანდარტიზებულ მექანიზმს ვებ აპლიკაციებისთვის, რათა ბრაუზერებს დაავალონ უსაფრთხოების კონკრეტული პოლიტიკის აღსრულება სესიის დროს [S1] [S2]. ეს სათაურები მოქმედებენ, როგორც სიღრმისეული თავდაცვის კრიტიკული ფენა, ამცირებენ რისკებს, რომლებიც შეიძლება სრულად არ იყოს მოგვარებული მხოლოდ განაცხადის ლოგიკით.

კონტენტის უსაფრთხოების პოლიტიკა (CSP)

კონტენტის უსაფრთხოების პოლიტიკა (CSP) არის უსაფრთხოების ფენა, რომელიც ეხმარება აღმოაჩინოს და შეარბილოს გარკვეული ტიპის თავდასხმები, მათ შორის, ჯვარედინი სკრიპტები (XSS) და მონაცემთა ინექციის შეტევები [S1]. პოლიტიკის განსაზღვრით, რომელიც განსაზღვრავს, თუ რომელი დინამიური რესურსების ჩატვირთვაა ნებადართული, CSP ხელს უშლის ბრაუზერს შეასრულოს მავნე სკრიპტები, რომლებიც შეყვანილია თავდამსხმელის [S1]-ის მიერ. ეს ეფექტურად ზღუდავს არაავტორიზებული კოდის შესრულებას მაშინაც კი, თუ აპლიკაციაში ინექციის დაუცველობა არსებობს.

HTTP მკაცრი ტრანსპორტის უსაფრთხოება (HSTS)

HTTP მკაცრი სატრანსპორტო უსაფრთხოება (HSTS) არის მექანიზმი, რომელიც საშუალებას აძლევს ვებსაიტს აცნობოს ბრაუზერებს, რომ მასზე წვდომა უნდა იყოს მხოლოდ HTTPS-ით, ვიდრე HTTP [S2]. ეს იცავს პროტოკოლის დაქვეითების შეტევებისგან და ქუქიების გატაცებისგან კლიენტსა და სერვერს შორის ყველა კომუნიკაციის დაშიფრული [S2]. როგორც კი ბრაუზერი მიიღებს ამ სათაურს, ის ავტომატურად გადააქცევს ყველა შემდგომ მცდელობას საიტზე წვდომის HTTP-ით HTTPS მოთხოვნად.

დაკარგული ჰედერების უსაფრთხოების შედეგები

აპლიკაციები, რომლებიც ვერ ახორციელებენ ამ სათაურებს, კლიენტის მხრიდან კომპრომისის მნიშვნელოვნად მაღალი რისკის ქვეშ არიან. კონტენტის უსაფრთხოების პოლიტიკის არარსებობა იძლევა არაავტორიზებული სკრიპტების შესრულებას, რამაც შეიძლება გამოიწვიოს სესიის გატაცება, მონაცემთა არაავტორიზებული ექსფილტრაცია ან [S1]. ანალოგიურად, HSTS სათაურის არარსებობა მომხმარებლებს მგრძნობიარეს უქმნის ადამიანის შუაგულში (MITM) შეტევებს, განსაკუთრებით საწყის დაკავშირების ფაზაში, სადაც თავდამსხმელს შეუძლია გადაჭრას ტრაფიკი და გადამისამართოს მომხმარებელი საიტის მავნე ან დაშიფრული ვერსიაზე ZXCVFIXZVIBETOKEN1.

როგორ ამოწმებს მას FixVibe

FixVibe უკვე შეიცავს ამას, როგორც პასიური სკანირების შემოწმება. headers.security-headers ამოწმებს საჯარო HTTP პასუხის მეტამონაცემებს Content-Security-Policy, Strict-Transport-Security, X-Frame-Options ან ZXCVFIXZVIBETOKEN4, X-Content-Type-Options, Referrer-Policy და Permissions-Policy. ის იტყობინება დაკარგული ან სუსტი მნიშვნელობების ექსპლოიტის ზონდების გარეშე და მისი შესწორების მოთხოვნა იძლევა განლაგებისთვის მზა სათაურის მაგალითებს საერთო აპლიკაციისა და CDN დაყენებისთვის.

გამოსწორების სახელმძღვანელო

უსაფრთხოების პოზის გასაუმჯობესებლად, ვებ სერვერები უნდა იყოს კონფიგურირებული, რათა დააბრუნონ ეს სათაურები წარმოების ყველა მარშრუტზე. ძლიერი CSP უნდა იყოს მორგებული აპლიკაციის რესურსის სპეციფიკურ მოთხოვნებზე, გამოიყენოს დირექტივები, როგორიცაა script-src და object-src, რათა შეზღუდოს სკრიპტის შესრულების გარემო ZXCVFIXXVIBETOKEN4. ტრანსპორტის უსაფრთხოებისთვის, Strict-Transport-Security სათაური უნდა იყოს ჩართული შესაბამისი max-age დირექტივით, რათა უზრუნველყოს მუდმივი დაცვა მომხმარებლის სესიებზე [S2].