FixVibe
Covered by FixVibemedium

Коопсуздук башкы конфигурациясынын жетишсиздиги

Веб тиркемелери көбүнчө коопсуздуктун маанилүү аталыштарын ишке ашыра албай, колдонуучуларды сайттар аралык скрипттерге (XSS), кликтөөгө жана маалыматтарды киргизүүгө дуушар кылып коюшат. Белгиленген веб-коопсуздук көрсөтмөлөрүнө баш ийүү жана MDN Обсерваториясы сыяктуу аудит куралдарын колдонуу менен, иштеп чыгуучулар өздөрүнүн тиркемелерин жалпы браузерге негизделген чабуулдарга каршы олуттуу түрдө күчөтө алышат.

CWE-693

Таасири

Коопсуздук аталыштарынын жоктугу чабуулчуларга кликтөөнү аткарууга, сеанс кукилерин уурдоого же сайттар аралык скрипттерди (XSS) [S1] аткарууга мүмкүндүк берет. Бул нускамаларсыз, браузерлер коопсуздук чектерин ишке ашыра албайт, бул потенциалдуу маалыматтарды эксфильтрациялоого жана колдонуучунун уруксатсыз аракеттерине алып келет [S2].

Негизги себеп

Маселе стандарттуу HTTP коопсуздук аталыштарын камтуу үчүн веб-серверлерди же тиркеме алкактарын конфигурациялоодон келип чыккан. Иштеп чыгуу көбүнчө функционалдык HTML жана CSS [S1] артыкчылыктуу болгону менен, коопсуздук конфигурациялары көп учурда алынып салынат. MDN Обсерваториясы сыяктуу аудит куралдары бул жетишпеген коргонуу катмарларын аныктоо жана браузер менен сервердин өз ара аракеттешүүсүн камсыз кылуу үчүн иштелип чыккан [S2].

Техникалык маалымат

Коопсуздук аталыштары браузерди жалпы алсыздыктарды азайтуу үчүн атайын коопсуздук директивалары менен камсыз кылат:

  • Мазмундун коопсуздугу саясаты (CSP): Кайсы ресурстар жүктөлүшүн көзөмөлдөп, скрипттин уруксатсыз аткарылышын жана берилиштерди киргизүүнүн алдын алат [S1].
  • Transport-Security (HSTS): Серепчинин [S2] коопсуз HTTPS байланыштары аркылуу гана байланышын камсыздайт.
  • X-Frame-Options: Колдонмонун iframeде көрсөтүлүшүнө жол бербейт, бул [S1] кликтеринен негизги коргонуу.
  • X-Content-Type-Options: Серепчинин файлдарды көрсөтүлгөндөн башка MIME түрү катары чечмелөөсүнө жол бербей, MIME жыттоо чабуулдарын [S2] токтотот.

FixVibe аны кантип сынайт

FixVibe муну веб тиркемесинин HTTP жооп баштарын талдоо аркылуу аныктай алат. Натыйжаларды MDN Observatory стандарттарына салыштыруу менен [S2], FixVibe CSP, ZXCVFIXVIBETOKEN4ZXFra жана XOption-Options- сыяктуу жок же туура эмес конфигурацияланган аталыштарды белгилей алат.

Түзөт

[S1] стандарттык коопсуздук абалынын бир бөлүгү катары бардык жооптордо төмөнкү аталыштарды камтуу үчүн веб-серверди (мис., Nginx, Apache) же колдонмонун ортосун жаңыртыңыз:

  • Мазмун-Коопсуздук-Саясат: Ресурс булактарын ишенимдүү домендер менен чектеңиз.
  • Катуу-Транспорт-Коопсуздук: Узун max-age менен HTTPS'ти колдонуңуз.
  • X-Content-Type-Options: nosniff [S2] кылып коюңуз.
  • X-Frame-Options: [S1] чыкылдатууну болтурбоо үчүн DENY же SAMEORIGIN кылып коюңуз.