FixVibe
Covered by FixVibemedium

HTTP қауіпсіздік тақырыптары: Browser Side Protection үшін CSP және HSTS енгізу

Бұл зерттеу HTTP қауіпсіздік тақырыптарының, атап айтқанда Мазмұндық қауіпсіздік саясаты (CSP) және HTTP қатаң көлік қауіпсіздігі (HSTS) веб-қосымшаларды тораптар арасындағы сценарийлер (HSTSEN0) төмен деңгейлі шабуылдар сияқты жалпы осалдықтардан қорғаудағы маңызды рөлін зерттейді.

CWE-1021CWE-79CWE-319

Қауіпсіздік тақырыптарының рөлі

HTTP қауіпсіздік тақырыптары [S1] [S2] сеансы кезінде браузерлерге арнайы қауіпсіздік саясаттарын орындауға нұсқау беру үшін веб-қосымшалар үшін стандартталған механизмді қамтамасыз етеді. Бұл тақырыптар тек қолданба логикасы арқылы толығымен шешілмеуі мүмкін тәуекелдерді азайтатын, терең қорғаныстың маңызды қабаты ретінде әрекет етеді.

Мазмұн қауіпсіздігі саясаты (CSP)

Мазмұнның қауіпсіздік саясаты (CSP) – сайтаралық сценарийлерді (XSS) және [S1] деректерді енгізу шабуылдарын қоса, белгілі бір шабуыл түрлерін анықтауға және азайтуға көмектесетін қауіпсіздік деңгейі. Қандай динамикалық ресурстарды жүктеуге рұқсат етілгенін көрсететін саясатты анықтау арқылы CSP шолғышқа [S1] шабуылдаушы енгізген зиянды сценарийлерді орындауға жол бермейді. Бұл қолданбада инъекция осалдығы болса да, рұқсат етілмеген кодтың орындалуын тиімді шектейді.

HTTP қатаң көлік қауіпсіздігі (HSTS)

HTTP қатаң көлік қауіпсіздігі (HSTS) – веб-сайтқа HTTP [S2] емес, HTTPS арқылы ғана кіру керектігі туралы браузерлерге хабарлауға мүмкіндік беретін механизм. Бұл клиент пен сервер арасындағы барлық байланыстың [S2] шифрланғанын қамтамасыз ету арқылы протоколды төмендету шабуылдарынан және cookie файлдарын ұрлаудан қорғайды. Браузер осы тақырыпты алғаннан кейін, ол HTTP арқылы сайтқа кірудің барлық кейінгі әрекеттерін HTTPS сұрауларына автоматты түрде түрлендіреді.

Жетіспейтін тақырыптардың қауіпсіздік салдары

Осы тақырыптарды орындай алмаған қолданбалар клиенттік компромисстің айтарлықтай жоғары қаупіне ұшырайды. Мазмұн қауіпсіздігі саясатының жоқтығы рұқсат етілмеген сценарийлерді орындауға мүмкіндік береді, бұл сеансты ұрлауға, деректердің рұқсат етілмеген эксфильтрациясына немесе [S1] файлының бұзылуына әкелуі мүмкін. Сол сияқты, HSTS тақырыбының болмауы пайдаланушыларды ортадағы адам (MITM) шабуылдарына бейім етеді, әсіресе, шабуылдаушы трафикті тоқтатып, пайдаланушыны ZXCVFIXVIBETOKEN1ZXC сайтының зиянды немесе шифрланбаған нұсқасына қайта бағыттай алатын бастапқы қосылым кезеңінде.

FixVibe оны қалай тексереді

FixVibe мұны пассивті сканерлеуді тексеру ретінде қамтиды. headers.security-headers жалпыға қолжетімді HTTP жауап метадеректерін Content-Security-Policy, Strict-Transport-Security, X-Frame-Options немесе ZXCVFIXVIBETOKEN4ZOKXVCVX, ZXCVFIXVIBETOKEN4XCCVCVXVCV, ZXCVFIXVIBETOKEN4ZOKCXVCV бар және күшін тексереді. Referrer-Policy және Permissions-Policy. Ол эксплуатациялық зондтарсыз жетіспейтін немесе әлсіз мәндерді хабарлайды және оның түзету шақыруы жалпы қолданба мен CDN орнатулары үшін қолдануға дайын тақырып мысалдарын береді.

Түзету бойынша нұсқаулық

Қауіпсіздік жағдайын жақсарту үшін веб-серверлер осы тақырыптарды барлық өндіріс бағыттарында қайтаратындай конфигурациялануы керек. Мықты CSP ZXCVFIXVIBETOKEN4ZXC сценарийін орындау орталарын шектеу үшін script-src және object-src сияқты директиваларды пайдаланып, қолданбаның арнайы ресурс талаптарына бейімделуі керек. Тасымалдау қауіпсіздігі үшін Strict-Transport-Security тақырыбы [S2] пайдаланушы сеанстарында тұрақты қорғауды қамтамасыз ету үшін сәйкес max-age директивасы арқылы қосылуы керек.