ຜົນກະທົບ
ຄວາມລົ້ມເຫລວໃນການປະຕິບັດການຕັ້ງຄ່າທີ່ສໍາຄັນດ້ານຄວາມປອດໄພສາມາດເຮັດໃຫ້ແອັບພລິເຄຊັນເວັບມີຄວາມສ່ຽງຕໍ່ລະດັບຕົວທ່ອງເວັບແລະລະດັບການຂົນສົ່ງ. ເຄື່ອງມືສະແກນອັດຕະໂນມັດຊ່ວຍລະບຸຊ່ອງຫວ່າງເຫຼົ່ານີ້ໂດຍການວິເຄາະວິທີການນໍາໃຊ້ມາດຕະຖານເວັບໃນທົ່ວ HTML, CSS, ແລະ JavaScript [S1]. ການກໍານົດຄວາມສ່ຽງເຫຼົ່ານີ້ໄວເຮັດໃຫ້ຜູ້ພັດທະນາແກ້ໄຂຈຸດອ່ອນຂອງການຕັ້ງຄ່າກ່ອນທີ່ພວກເຂົາສາມາດຖືກນໍາໄປໃຊ້ໂດຍນັກສະແດງພາຍນອກ [S1].
ສາເຫດ
ສາເຫດຫຼັກຂອງຊ່ອງໂຫວ່ເຫຼົ່ານີ້ແມ່ນການລະເວັ້ນສ່ວນຫົວການຕອບສະໜອງ HTTP ທີ່ສຳຄັນ ຫຼື ການຕັ້ງຄ່າມາດຕະຖານເວັບ [S1] ທີ່ບໍ່ເໝາະສົມ. ນັກພັດທະນາອາດຈະຈັດລໍາດັບຄວາມສໍາຄັນຂອງການເຮັດວຽກຂອງແອັບພລິເຄຊັນໃນຂະນະທີ່ເບິ່ງຂ້າມຄໍາແນະນໍາຄວາມປອດໄພລະດັບຕົວທ່ອງເວັບທີ່ຕ້ອງການສໍາລັບຄວາມປອດໄພຂອງເວັບໄຊຕ໌ທີ່ທັນສະໄຫມ [S1].
ແກ້ໄຂຄອນກີດ
- Audit Security Configurations: ໃຊ້ເຄື່ອງມືສະແກນເປັນປະຈຳເພື່ອກວດສອບການຈັດຕັ້ງປະຕິບັດສ່ວນຫົວ ແລະການຕັ້ງຄ່າຄວາມປອດໄພທີ່ສຳຄັນໃນທົ່ວແອັບພລິເຄຊັນ [S1].
- ປະຕິບັດຕາມມາດຕະຖານເວັບ: ໃຫ້ແນ່ໃຈວ່າການປະຕິບັດ HTML, CSS, ແລະ JavaScript ປະຕິບັດຕາມຄໍາແນະນໍາການເຂົ້າລະຫັດທີ່ປອດໄພຕາມທີ່ບັນທຶກໄວ້ໂດຍແພລດຟອມເວັບທີ່ສໍາຄັນເພື່ອຮັກສາຄວາມປອດໄພທີ່ເຂັ້ມແຂງ [S1].
ວິທີການ FixVibe ທົດສອບສໍາລັບມັນ
FixVibe ກວມເອົາມັນແລ້ວຜ່ານໂມດູນເຄື່ອງສະແກນ headers.security-headers passive. ໃນລະຫວ່າງການສະແກນແບບ passive ປົກກະຕິ, FixVibe ດຶງເອົາເປົ້າໝາຍຄືບຣາວເຊີ ແລະກວດເບິ່ງການຕອບສະໜອງ HTML ຮາກສຳລັບ CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, ແລະນະໂຍບາຍ. ການຊອກຫາແມ່ນບໍ່ມີຕົວຕັ້ງຕົວຕີ ແລະອີງໃສ່ແຫຼ່ງທີ່ມາ: ເຄື່ອງສະແກນລາຍງານສ່ວນຫົວການຕອບສະໜອງທີ່ອ່ອນແອ ຫຼື ຂາດຫາຍໄປໂດຍບໍ່ຕ້ອງສົ່ງການຂູດຮີດ.