Poveikis
Nesugebėjus įdiegti saugumui svarbių konfigūracijų, žiniatinklio programoms gali kilti pavojus naršyklės ir transportavimo lygiu. Automatiniai nuskaitymo įrankiai padeda nustatyti šias spragas analizuodami, kaip žiniatinklio standartai taikomi HTML, CSS ir JavaScript [S1]. Anksti nustatę šias rizikas, kūrėjai gali pašalinti konfigūracijos trūkumus, kol jas gali panaudoti išoriniai veikėjai. [S1].
Pagrindinė priežastis
Pagrindinė šių spragų priežastis yra saugumui svarbių HTTP atsakymų antraščių praleidimas arba netinkama žiniatinklio standartų [S1] konfigūracija. Kūrėjai gali teikti pirmenybę programos funkcijoms, nepaisydami naršyklės lygio saugos instrukcijų, reikalingų šiuolaikinei žiniatinklio saugai [S1].
Betoniniai pataisymai
- Saugos konfigūracijų auditas: reguliariai naudokite nuskaitymo įrankius, kad patikrintumėte, ar programoje [S1] įdiegtos saugumui svarbios antraštės ir konfigūracijos.
- Laikykitės žiniatinklio standartų: įsitikinkite, kad HTML, CSS ir „JavaScript“ diegimas atitinka saugaus kodavimo gaires, aprašytas pagrindinėse žiniatinklio platformose, kad išlaikytumėte tvirtą saugos poziciją [S1].
Kaip FixVibe tai tikrina
FixVibe tai jau apima per pasyvųjį headers.security-headers skaitytuvo modulį. Įprasto pasyvaus nuskaitymo metu FixVibe nuskaito taikinį kaip naršyklę ir patikrina šakninį HTML atsaką, skirtą CSP, HSTS, X-Frame-Options, X-Content-Type-Policy-Options, Referre-Policy-Policy. Išvados lieka pasyvios ir pagrįstos šaltiniu: skaitytuvas praneša apie tikslią silpną arba trūkstamą atsako antraštę, nesiųsdamas išnaudojimo apkrovų.