FixVibe
Covered by FixVibemedium

ការកំណត់រចនាសម្ព័ន្ធបឋមកថាសុវត្ថិភាពមិនគ្រប់គ្រាន់

ZXCVFIXVIBESEG ២ កម្មវិធីគេហទំព័រជារឿយៗបរាជ័យក្នុងការអនុវត្តបឋមកថាសុវត្ថិភាពសំខាន់ៗ ដែលធ្វើឱ្យអ្នកប្រើប្រាស់ប្រឈមនឹងការស្គ្រីបឆ្លងគេហទំព័រ (XSS) ការចុច Jack និងការចាក់ទិន្នន័យ។ ដោយអនុវត្តតាមគោលការណ៍ណែនាំសុវត្ថិភាពគេហទំព័រដែលបានបង្កើតឡើង និងប្រើប្រាស់ឧបករណ៍សវនកម្មដូចជា MDN Observatory អ្នកអភិវឌ្ឍន៍អាចពង្រឹងកម្មវិធីរបស់ពួកគេយ៉ាងខ្លាំងប្រឆាំងនឹងការវាយប្រហារផ្អែកលើកម្មវិធីរុករកធម្មតា។

CWE-693

ផលប៉ះពាល់

ZXCVFIXVIBESEG ៤ អវត្ដមាននៃបឋមកថាសុវត្ថិភាពអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការ clickjacking លួច session cookies ឬប្រតិបត្តិ cross-site scripting (XSS) [S1]។ បើគ្មានការណែនាំទាំងនេះទេ កម្មវិធីរុករកតាមអ៊ីនធឺណិតមិនអាចអនុវត្តព្រំដែនសុវត្ថិភាព ដែលនាំទៅដល់ការទាញយកទិន្នន័យដែលមានសក្តានុពល និងសកម្មភាពរបស់អ្នកប្រើដែលគ្មានការអនុញ្ញាត [S2] ។

ZXCVFIXVIBESEG ៥

មូលហេតុ

ZXCVFIXVIBESEG ៦ បញ្ហានេះកើតចេញពីការបរាជ័យក្នុងការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេគេហទំព័រ ឬក្របខ័ណ្ឌកម្មវិធីដើម្បីរួមបញ្ចូលបឋមកថាសុវត្ថិភាព HTTP ស្តង់ដារ។ ខណៈពេលដែលការអភិវឌ្ឍន៍ជារឿយៗផ្តល់អាទិភាពដល់មុខងារ HTML និង CSS [S1] ការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពត្រូវបានលុបចោលជាញឹកញាប់។ ឧបករណ៍សវនកម្មដូចជា MDN Observatory ត្រូវបានរចនាឡើងដើម្បីស្វែងរកស្រទាប់ការពារដែលបាត់ទាំងនេះ និងធានាថាអន្តរកម្មរវាង browser និង server មានសុវត្ថិភាព [S2] ។

ZXCVFIXVIBESEG ៧

ព័ត៌មានលម្អិតបច្ចេកទេស

ZXCVFIXVIBESEG ៨ បឋមកថាសុវត្ថិភាពផ្តល់ឱ្យកម្មវិធីរុករកតាមអ៊ីនធឺណិតនូវការណែនាំសុវត្ថិភាពជាក់លាក់ ដើម្បីកាត់បន្ថយភាពងាយរងគ្រោះទូទៅ៖

  • គោលការណ៍សុវត្ថិភាពខ្លឹមសារ (CSP): គ្រប់គ្រងធនធានដែលអាចផ្ទុកបាន ការពារការប្រតិបត្តិស្គ្រីបដោយគ្មានការអនុញ្ញាត និងការចាក់ទិន្នន័យ [S1] ។

ZXCVFIXVIBESEG ១០

  • Strict-Transport-Security (HSTS)៖ ធានាថា browser ទំនាក់ទំនងតែលើការភ្ជាប់ HTTPS សុវត្ថិភាព [S2] ប៉ុណ្ណោះ។

ZXCVFIXVIBESEG ១១

  • X-Frame-Options៖ រារាំងកម្មវិធីមិនឱ្យបង្ហាញក្នុង iframe ដែលជាការការពារចម្បងប្រឆាំងនឹងការចុចជែក [S1] ។

ZXCVFIXVIBESEG ១២

  • X-Content-Type-Options៖ រារាំងកម្មវិធីរុករកពីការបកប្រែឯកសារជាប្រភេទ MIME ខុសពីអ្វីដែលបានបញ្ជាក់ ដោយបញ្ឈប់ការវាយប្រហារដោយ MIME-sniffing [S2] ។

ZXCVFIXVIBESEG ១៣

របៀបដែល FixVibe ធ្វើតេស្តសម្រាប់វា។

FixVibe អាចរកឃើញវាដោយការវិភាគបឋមកថាការឆ្លើយតប HTTP នៃកម្មវិធីគេហទំព័រ។ ដោយការសម្គាល់លទ្ធផលធៀបនឹងស្តង់ដារ MDN Observatory [S2], FixVibe អាចដាក់ទង់ក្បាលដែលបាត់ ឬកំណត់រចនាសម្ព័ន្ធខុសដូចជា CSP, HSTS និង X-Frame-Options។

ZXCVFIXVIBESEG ១៥

ជួសជុល

ធ្វើបច្ចុប្បន្នភាពម៉ាស៊ីនមេបណ្តាញ (ឧ. Nginx, Apache) ឬកម្មវិធីកណ្តាលរបស់កម្មវិធី ដើម្បីរួមបញ្ចូលបឋមកថាខាងក្រោមនៅក្នុងការឆ្លើយតបទាំងអស់ជាផ្នែកនៃឥរិយាបថសុវត្ថិភាពស្តង់ដារ [S1]៖

  • Content-Security-Policy៖ ដាក់កម្រិតប្រភពធនធានទៅដែនដែលទុកចិត្ត។

ZXCVFIXVIBESEG ១៨

  • Strict-Transport-Security៖ ពង្រឹង HTTPS ជាមួយនឹង max-age ដ៏វែងមួយ។

ZXCVFIXVIBESEG ១៩

  • ជម្រើស X-Content-Type-Options៖ កំណត់ទៅ nosniff [S2]។

ZXCVFIXVIBESEG ២០

  • X-Frame-Options៖ កំណត់ទៅ DENYSAMEORIGIN ដើម្បីការពារការចុចជែក [S1] ។