FixVibe
Covered by FixVibemedium

Veavakirina Sernavê Ewlekariya Nerazî

Serlêdanên malperê bi gelemperî nekarin sernavên ewlehiyê yên bingehîn bicîh bînin, bikarhêneran li ber nivîsandina navmalperê (XSS), klîkek, û derzîlêdana daneyê dihêlin. Bi şopandina rêwerzên ewlehiya malperê yên damezrandî û karanîna amûrên venêrînê yên mîna Çavdêrxaneya MDN, pêşdebir dikarin serîlêdanên xwe li hember êrîşên hevpar ên gerok-based dijwar bikin.

CWE-693

Bandor

Nebûna sernavên ewlehiyê dihêle ku êrîşkar bikirtînin, çerezên danişînê bidizin, an nivîsandina nav-malperê (XSS) [S1] pêk bînin. Bêyî van rêwerzan, gerok nikarin sînorên ewlehiyê bicîh bikin, ku dibe sedema derxistina daneya potansiyel û kiryarên bikarhêner ên nedestûr [S2].

Sedema bingehîn

Pirsgirêk ji têkçûnek mîhengkirina pêşkêşkerên malperê an çarçoveyên serîlêdanê ye ku sernavên ewlehiya HTTP-ya standard bi nav bike. Dema ku pêşkeftin bi gelemperî HTML-ya fonksiyonel û CSS [S1]-ya fonksiyonel dide pêş, mîhengên ewlehiyê bi gelemperî têne derxistin. Amûrên çavdêriyê yên mîna Çavdêriya MDN-ê hatine sêwirandin ku van qatên berevaniyê yên wenda tesbît bikin û pê ewle bibin ku têkiliya di navbera gerok û serverê de ewledar e [S2].

Hûrguliyên Teknîkî

Sernavên ewlehiyê ji gerokê re rêwerzên ewlehiyê yên taybetî peyda dikin da ku qelsiyên hevpar kêm bikin:

  • Polîtîkaya Ewlekariya Naverokê (CSP): Kontrol dike ka kîjan çavkaniyan dikarin werin barkirin, pêşî li darvekirina nivîsê ya bêdestûr û derzkirina daneyê [S1] digire.
  • Tirk-Transport-Ewlehî (HSTS): Temîn dike ku gerok tenê li ser girêdanên HTTPS-ya ewledar [S2] ragihîne.
  • X-Frame-Vebijarkên: Pêşîlêgirtina sepanê di iframeyekê de nahêle, ku parastina serekî ye li dijî klîkkirina [S1].
  • X-Content-Type-Vebijarkên: Nahêle gerok pelan wekî celebek MIME-ya cûda ya ku hatî destnîşan kirin şîrove bike, êrîşên MIME-sniffing [S2] rawestîne.

FixVibe çawa ji bo wê diceribîne

FixVibe dikaribû vê yekê bi analîzkirina sernavên bersiva HTTP-ê yên serîlêdanek webê vedîtîne. Bi pîvandina encaman li hember standardên Çavdêrxaneya MDN-ê [S2], FixVibe dikare sernavên wenda an xelet vesazkirî yên wekî CSP, [S2], û XCVFIXVIBETOKEN4ZXra nîşan bide.

Rast bikin

Pêşkêşkara malperê (mînak, Nginx, Apache) an navgîniya serîlêdanê nûve bikin da ku sernavên jêrîn di hemî bersivan de wekî beşek ji pozîsyonek ewlehiyê ya standard [S1] vehewînin:

  • Naverok-Ewlehî-Siyaseta: Çavkaniyên çavkaniyê li domên pêbawer sînordar bikin.
  • Strict-Transport-Security: HTTPS-ê bi max-age-ya dirêj ve bicîh bikin.
  • X-Content-Type-Vebijarkên: nosniff [S2] danîn.
  • X-Frame-Vebijarkên: DENY an jî SAMEORIGIN saz bikin da ku pêşî li klîkkirina [S1] bigirin.