FixVibe
Covered by FixVibemedium

ສ່ວນຫົວຄວາມປອດໄພ HTTP: ການປະຕິບັດ CSP ແລະ HSTS ສໍາລັບການປ້ອງກັນທາງຂ້າງຂອງຕົວທ່ອງເວັບ

ການຄົ້ນຄວ້ານີ້ຄົ້ນຄວ້າບົດບາດສໍາຄັນຂອງສ່ວນຫົວຄວາມປອດໄພ HTTP, ໂດຍສະເພາະນະໂຍບາຍຄວາມປອດໄພເນື້ອຫາ (CSP) ແລະ HTTP Strict Transport Security (HSTS), ໃນການປົກປ້ອງແອັບພລິເຄຊັນເວັບຈາກຊ່ອງໂຫວ່ທົ່ວໄປເຊັ່ນ Cross-Site Scripting (XSS) ແລະການໂຈມຕີ prototo.

CWE-1021CWE-79CWE-319

ບົດບາດຂອງຫົວຫນ້າຄວາມປອດໄພ

ຫົວຂໍ້ຄວາມປອດໄພ HTTP ສະຫນອງກົນໄກມາດຕະຖານສໍາລັບຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌ເພື່ອແນະນໍາຕົວທ່ອງເວັບເພື່ອບັງຄັບໃຊ້ນະໂຍບາຍຄວາມປອດໄພສະເພາະໃນລະຫວ່າງກອງປະຊຸມ [S1] [S2]. ຫົວຂໍ້ເຫຼົ່ານີ້ເຮັດຫນ້າທີ່ເປັນຊັ້ນທີ່ສໍາຄັນຂອງການປ້ອງກັນໃນຄວາມເລິກ, ຫຼຸດຜ່ອນຄວາມສ່ຽງທີ່ອາດຈະບໍ່ໄດ້ຮັບການແກ້ໄຂຢ່າງເຕັມສ່ວນໂດຍເຫດຜົນຄໍາຮ້ອງສະຫມັກດຽວ.

ນະໂຍບາຍຄວາມປອດໄພຂອງເນື້ອຫາ (CSP)

ນະໂຍບາຍຄວາມປອດໄພຂອງເນື້ອຫາ (CSP) ເປັນຊັ້ນຄວາມປອດໄພທີ່ຊ່ວຍກວດຫາ ແລະຫຼຸດຜ່ອນການໂຈມຕີບາງປະເພດ, ລວມທັງ Cross-Site Scripting (XSS) ແລະການໂຈມຕີຂໍ້ມູນ [S1]. ໂດຍກໍານົດນະໂຍບາຍທີ່ລະບຸວ່າຊັບພະຍາກອນແບບໄດນາມິກໃດຖືກອະນຸຍາດໃຫ້ໂຫລດ, CSP ປ້ອງກັນບໍ່ໃຫ້ຕົວທ່ອງເວັບປະຕິບັດການສະຄິບທີ່ເປັນອັນຕະລາຍທີ່ຖືກໃສ່ໂດຍຜູ້ໂຈມຕີ [S1]. ນີ້ຈໍາກັດປະສິດທິພາບຂອງການປະຕິບັດລະຫັດທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດເຖິງແມ່ນວ່າມີຈຸດອ່ອນໃນການສີດຢູ່ໃນຄໍາຮ້ອງສະຫມັກ.

HTTP ຄວາມປອດໄພການຂົນສົ່ງທີ່ເຂັ້ມງວດ (HSTS)

HTTP Strict Transport Security (HSTS) ແມ່ນກົນໄກທີ່ອະນຸຍາດໃຫ້ເວັບໄຊທ໌ແຈ້ງໃຫ້ຕົວທ່ອງເວັບຮູ້ວ່າມັນຄວນຈະເຂົ້າເຖິງໄດ້ໂດຍໃຊ້ HTTPS, ແທນທີ່ຈະ HTTP [S2]. ອັນນີ້ປ້ອງກັນການໂຈມຕີການຫຼຸດລະດັບໂປຣໂຕຄໍ ແລະການລັກລອບຄຸກກີ້ໂດຍການຮັບປະກັນວ່າການສື່ສານທັງໝົດລະຫວ່າງລູກຄ້າກັບເຊີບເວີຖືກເຂົ້າລະຫັດ [S2]. ເມື່ອຕົວທ່ອງເວັບໄດ້ຮັບສ່ວນຫົວນີ້, ມັນຈະປ່ຽນທຸກຄວາມພະຍາຍາມຕໍ່ໄປໃນການເຂົ້າເຖິງເວັບໄຊທ໌ຜ່ານ HTTP ເຂົ້າໄປໃນຄໍາຮ້ອງຂໍ HTTPS.

ຜົນກະທົບດ້ານຄວາມປອດໄພຂອງສ່ວນຫົວທີ່ຂາດຫາຍໄປ

ແອັບພລິເຄຊັນທີ່ລົ້ມເຫລວໃນການປະຕິບັດສ່ວນຫົວເຫຼົ່ານີ້ແມ່ນມີຄວາມສ່ຽງສູງຕໍ່ການປະນີປະນອມຂອງຝ່າຍລູກຄ້າ. ການຂາດນະໂຍບາຍຄວາມປອດໄພຂອງເນື້ອຫາອະນຸຍາດໃຫ້ດໍາເນີນການສະຄິບທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ, ເຊິ່ງສາມາດນໍາໄປສູ່ການ hijacking session, exfiltration ຂໍ້ມູນທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ, ຫຼື defacement [S1]. ເຊັ່ນດຽວກັນ, ການຂາດສ່ວນຫົວ HSTS ເຮັດໃຫ້ຜູ້ໃຊ້ມີຄວາມອ່ອນໄຫວຕໍ່ກັບການໂຈມຕີແບບ man-in-the-middle (MITM), ໂດຍສະເພາະໃນໄລຍະການເຊື່ອມຕໍ່ເບື້ອງຕົ້ນ, ບ່ອນທີ່ຜູ້ໂຈມຕີສາມາດຂັດຂວາງການຈະລາຈອນແລະປ່ຽນເສັ້ນທາງຜູ້ໃຊ້ໄປຫາເວັບໄຊທ໌ [S2] ທີ່ເປັນອັນຕະລາຍຫຼືບໍ່ໄດ້ເຂົ້າລະຫັດ.

ວິທີການ FixVibe ທົດສອບສໍາລັບມັນ

FixVibe ຮວມເອົາອັນນີ້ເປັນການກວດສອບແບບ passive scan ແລ້ວ. headers.security-headers ກວດສອບເມຕາເດຕາການຕອບສະໜອງ HTTP ສາທາລະນະສໍາລັບການມີຢູ່ ແລະຄວາມເຂັ້ມແຂງຂອງ Content-Security-Policy, Strict-Transport-Security, X-Frame-Options ຫຼື frame-ancestors, ZXCVFIXZVIBETOKEN, Referrer-Policy, ແລະ Permissions-Policy. ມັນລາຍງານຄ່າທີ່ຂາດຫາຍໄປຫຼືອ່ອນແອໂດຍບໍ່ມີການ probes ຂູດຮີດ, ແລະການເຕືອນການແກ້ໄຂຂອງມັນໃຫ້ຕົວຢ່າງສ່ວນຫົວທີ່ກຽມພ້ອມສໍາລັບແອັບຯທົ່ວໄປແລະການຕິດຕັ້ງ CDN.

ຄຳແນະນຳການແກ້ໄຂ

ເພື່ອປັບປຸງທ່າທາງຄວາມປອດໄພ, ເຊີບເວີເວັບຕ້ອງຖືກຕັ້ງຄ່າເພື່ອສົ່ງຄືນສ່ວນຫົວເຫຼົ່ານີ້ໃນທຸກເສັ້ນທາງການຜະລິດ. CSP ທີ່ເຂັ້ມແຂງຄວນຈະຖືກປັບໃຫ້ເຫມາະສົມກັບຄວາມຕ້ອງການຊັບພະຍາກອນສະເພາະຂອງແອັບພລິເຄຊັນ, ໂດຍໃຊ້ຄໍາສັ່ງເຊັ່ນ script-src ແລະ object-src ເພື່ອຈໍາກັດສະພາບແວດລ້ອມການປະຕິບັດສະຄິບ [S1]. ເພື່ອຄວາມປອດໄພໃນການຂົນສົ່ງ, ຫົວ Strict-Transport-Security ຄວນຖືກເປີດໃຊ້ດ້ວຍຄໍາສັ່ງ max-age ທີ່ເຫມາະສົມເພື່ອຮັບປະກັນການປົກປ້ອງຢ່າງຕໍ່ເນື່ອງໃນທົ່ວເຊດຊັນຂອງຜູ້ໃຊ້ [S2].