FixVibe
Covered by FixVibemedium

បឋមកថាសុវត្ថិភាព HTTP៖ អនុវត្ត CSP និង HSTS សម្រាប់ Browser-Side Defense

ZXCVFIXVIBESEG ២ ការស្រាវជ្រាវនេះស្វែងយល់ពីតួនាទីសំខាន់នៃបឋមកថាសុវត្ថិភាព HTTP ជាពិសេសគោលនយោបាយសុវត្ថិភាពខ្លឹមសារ (CSP) និង HTTP Strict Transport Security (HSTS) ក្នុងការការពារកម្មវិធីគេហទំព័រពីភាពងាយរងគ្រោះទូទៅដូចជា Cross-Site Scripting (XSS) និងការវាយប្រហារ protos.

CWE-1021CWE-79CWE-319

តួនាទីរបស់ប្រធានសន្តិសុខ

ZXCVFIXVIBESEG ៤ បឋមកថាសុវត្ថិភាព HTTP ផ្តល់នូវយន្តការស្ដង់ដារសម្រាប់កម្មវិធីបណ្ដាញដើម្បីណែនាំកម្មវិធីរុករកតាមអ៊ីនធឺណិតឱ្យអនុវត្តគោលការណ៍សុវត្ថិភាពជាក់លាក់ក្នុងអំឡុងពេលវគ្គ [S1] [S2] ។ បឋមកថាទាំងនេះដើរតួជាស្រទាប់ការពារយ៉ាងស៊ីជម្រៅ កាត់បន្ថយហានិភ័យដែលអាចមិនត្រូវបានដោះស្រាយទាំងស្រុងដោយតក្កវិជ្ជាកម្មវិធីតែមួយ។

ZXCVFIXVIBESEG ៥

គោលការណ៍សុវត្ថិភាពខ្លឹមសារ (CSP)

ZXCVFIXVIBESEG ៦ គោលការណ៍សុវត្ថិភាពខ្លឹមសារ (CSP) គឺជាស្រទាប់សុវត្ថិភាពដែលជួយស្វែងរក និងកាត់បន្ថយប្រភេទនៃការវាយប្រហារមួយចំនួន រួមទាំងការសរសេរស្គ្រីបឆ្លងគេហទំព័រ (XSS) និងការវាយប្រហារបញ្ចូលទិន្នន័យ [S1] ។ តាមរយៈការកំណត់គោលការណ៍ដែលបញ្ជាក់ធនធានថាមវន្តណាមួយដែលត្រូវបានអនុញ្ញាតឱ្យផ្ទុក CSP រារាំងកម្មវិធីរុករកតាមអ៊ីនធឺណិតពីការប្រតិបត្តិស្គ្រីបព្យាបាទដែលត្រូវបានបញ្ចូលដោយអ្នកវាយប្រហារ [S1] ។ វារឹតបន្តឹងយ៉ាងមានប្រសិទ្ធភាពលើការប្រតិបត្តិនៃកូដដែលគ្មានការអនុញ្ញាត ទោះបីជាមានភាពងាយរងគ្រោះក្នុងការចាក់បញ្ចូលក្នុងកម្មវិធីក៏ដោយ។

ZXCVFIXVIBESEG ៧

HTTP សុវត្ថិភាពដឹកជញ្ជូនតឹងរឹង (HSTS)

ZXCVFIXVIBESEG ៨ HTTP Strict Transport Security (HSTS) គឺជាយន្តការមួយដែលអនុញ្ញាតឱ្យគេហទំព័រជូនដំណឹងទៅកាន់កម្មវិធីរុករកដែលវាគួរតែត្រូវបានចូលប្រើតែ HTTPS ជាជាង HTTP [S2] ។ វាការពារប្រឆាំងនឹងការវាយប្រហារទម្លាក់លេខពិធីការ និងការលួចចូលខូគី ដោយធានាថាទំនាក់ទំនងទាំងអស់រវាងម៉ាស៊ីនភ្ញៀវ និងម៉ាស៊ីនមេត្រូវបានអ៊ិនគ្រីប [S2] ។ នៅពេលដែលកម្មវិធីរុករកទទួលបានបឋមកថានេះ វានឹងបំប្លែងរាល់ការប៉ុនប៉ងជាបន្តបន្ទាប់ដើម្បីចូលទៅកាន់គេហទំព័រតាមរយៈ HTTP ទៅជាសំណើ HTTPS ។

ផលប៉ះពាល់សុវត្ថិភាពនៃការបាត់បឋមកថា

ZXCVFIXVIBESEG ១០ កម្មវិធីដែលបរាជ័យក្នុងការអនុវត្តបឋមកថាទាំងនេះមានហានិភ័យខ្ពស់នៃការសម្របសម្រួលភាគីអតិថិជន។ អវត្ដមាននៃគោលការណ៍សុវត្ថិភាពខ្លឹមសារអនុញ្ញាតឱ្យដំណើរការស្គ្រីបដែលគ្មានការអនុញ្ញាត ដែលអាចនាំឱ្យមានការលួចចូលសម័យ ការទាញយកទិន្នន័យដោយគ្មានការអនុញ្ញាត ឬការធ្វើឱ្យខូច [S1] ។ ដូចគ្នានេះដែរ កង្វះនៃបឋមកថា HSTS ទុកឱ្យអ្នកប្រើប្រាស់ងាយទទួលការវាយប្រហារដោយមនុស្សនៅកណ្តាល (MITM) ជាពិសេសក្នុងដំណាក់កាលតភ្ជាប់ដំបូង ដែលអ្នកវាយប្រហារអាចស្ទាក់ចាប់ចរាចរណ៍ និងបញ្ជូនអ្នកប្រើប្រាស់ទៅកាន់កំណែព្យាបាទ ឬមិនបានអ៊ិនគ្រីបនៃគេហទំព័រ [S2]។

ZXCVFIXVIBESEG ១១

របៀបដែល FixVibe ធ្វើតេស្តសម្រាប់វា។

ZXCVFIXVIBESEG ១២ FixVibe រួមបញ្ចូលវារួចហើយជាការត្រួតពិនិត្យស្កេនអកម្ម។ headers.security-headers ពិនិត្យមើលទិន្នន័យមេតានៃការឆ្លើយតប HTTP សាធារណៈសម្រាប់វត្តមាន និងកម្លាំងនៃ Content-Security-Policy, Strict-Transport-Security, X-Frame-Optionsframe-ancestors, ZXCVFIXZVIBETOKEN, Referrer-Policy និង Permissions-Policy ។ វារាយការណ៍ពីតម្លៃដែលបាត់ ឬខ្សោយដោយមិនមានការស៊ើបអង្កេត ហើយប្រអប់បញ្ចូលជួសជុលរបស់វាផ្តល់នូវឧទាហរណ៍បឋមកថាដែលត្រៀមរួចជាស្រេចសម្រាប់កម្មវិធីទូទៅ និងការដំឡើង CDN ។

ZXCVFIXVIBESEG ១៣

ការណែនាំអំពីដំណោះស្រាយ

ដើម្បីកែលម្អស្ថានភាពសុវត្ថិភាព ម៉ាស៊ីនមេគេហទំព័រត្រូវតែកំណត់រចនាសម្ព័ន្ធ ដើម្បីប្រគល់បឋមកថាទាំងនេះនៅលើផ្លូវផលិតកម្មទាំងអស់។ CSP ដ៏រឹងមាំគួរត្រូវបានកែសម្រួលទៅតាមតម្រូវការធនធានជាក់លាក់របស់កម្មវិធី ដោយប្រើការណែនាំដូចជា script-src និង object-src ដើម្បីកំណត់បរិយាកាសប្រតិបត្តិស្គ្រីប [S1] ។ សម្រាប់សុវត្ថិភាពដឹកជញ្ជូន បឋមកថា Strict-Transport-Security គួរតែត្រូវបានបើកជាមួយនឹងការណែនាំ max-age ដែលសមស្រប ដើម្បីធានាបាននូវការការពារជាប់លាប់នៅទូទាំងវគ្គអ្នកប្រើប្រាស់ [S2] ។