FixVibe
Covered by FixVibemedium

Қауіпсіздік тақырыбының конфигурациясы жеткіліксіз

Веб-қолданбалар жиі маңызды қауіпсіздік тақырыптарын орындай алмайды, бұл пайдаланушыларды тораптар аралық сценарийлерге (XSS), басуға және деректерді енгізуге ұшыратады. Белгіленген веб-қауіпсіздік нұсқауларын орындау және MDN обсерваториясы сияқты аудит құралдарын пайдалану арқылы әзірлеушілер браузерге негізделген жалпы шабуылдарға қарсы қолданбаларын айтарлықтай күшейте алады.

CWE-693

Әсер

Қауіпсіздік тақырыптарының болмауы шабуылдаушыларға басуды орындауға, сеанс cookie файлдарын ұрлауға немесе сайттар арасындағы сценарийді (XSS) [S1] орындауға мүмкіндік береді. Бұл нұсқауларсыз браузерлер қауіпсіздік шекараларын бекіте алмайды, бұл ықтимал деректер эксфильтрациясына және пайдаланушының рұқсат етілмеген әрекеттеріне әкеледі [S2].

Негізгі себеп

Мәселе стандартты HTTP қауіпсіздік тақырыптарын қосу үшін веб-серверлерді немесе қолданба шеңберлерін конфигурациялаудың сәтсіздігінен туындайды. Әзірлеу көбінесе функционалдық HTML және CSS [S1] басымдылыққа ие болғанымен, қауіпсіздік конфигурациялары жиі өткізілмейді. MDN обсерваториясы сияқты аудит құралдары осы жетіспейтін қорғаныс қабаттарын анықтауға және браузер мен сервер арасындағы өзара әрекеттесу қауіпсіз [S2] қамтамасыз етуге арналған.

Техникалық мәліметтер

Қауіпсіздік тақырыптары шолғышты жалпы осалдықтарды азайту үшін арнайы қауіпсіздік директиваларымен қамтамасыз етеді:

  • Мазмұн қауіпсіздігі саясаты (CSP): Рұқсатсыз сценарий орындалуын және [S1] деректерді енгізуді болдырмай, қай ресурстарды жүктеуге болатынын басқарады.
  • Қатаң транспорттық қауіпсіздік (HSTS): Браузер тек [S2] қауіпсіз HTTPS қосылымдары арқылы байланысуын қамтамасыз етеді.
  • X-Frame-Options: Қолданбаның iframe ішінде көрсетілуін болдырмайды, ол [S1] кликінен негізгі қорғаныс болып табылады.
  • X-Content-Type-Options: Браузердің файлдарды [S2] MIME иіскеу шабуылдарын тоқтатып, көрсетілгеннен басқа MIME түрі ретінде түсіндіруге жол бермейді.

FixVibe оны қалай тексереді

FixVibe мұны веб-қосымшаның HTTP жауап тақырыптарын талдау арқылы анықтай алады. Нәтижелерді MDN обсерваториясының [S2], FixVibe стандарттарымен салыстыру арқылы CSP, ZXCVFIXVIBETOKEN4ZXFra және XOption-Options- сияқты жоқ немесе дұрыс конфигурацияланбаған тақырыптарды белгілей алады.

Түзету

[S1] стандартты қауіпсіздік ұстанымының бөлігі ретінде барлық жауаптарға келесі тақырыптарды қосу үшін веб-серверді (мысалы, Nginx, Apache) немесе қолданбаның аралық бағдарламалық құралын жаңартыңыз:

  • Мазмұн-Қауіпсіздік-саясат: ресурс көздерін сенімді домендерге шектеңіз.
  • Қатаң-тасымалдау-қауіпсіздік: ұзын max-age арқылы HTTPS протоколын іске қосыңыз.
  • X-Content-Type-Options: nosniff [S2] етіп орнатыңыз.
  • X-Frame-Options: [S1] түймешігін басуды болдырмау үшін DENY немесе SAMEORIGIN күйіне орнатыңыз.