FixVibe
Covered by FixVibemedium

HTTP drošības galvenes: CSP un HSTS ieviešana pārlūkprogrammas puses aizsardzībai

Šis pētījums pēta HTTP drošības galveņu, īpaši satura drošības politikas (CSP) un HTTP stingrās transporta drošības (HSTS) svarīgo lomu tīmekļa lietojumprogrammu aizsardzībā no tādām izplatītām ievainojamībām kā Cross-Site Scripting (ZXCVFIXVIBETOKEN0ZXV) uzbrukums un protokols downgrade.

CWE-1021CWE-79CWE-319

Drošības virsrakstu loma

HTTP drošības galvenes nodrošina standartizētu mehānismu tīmekļa lietojumprogrammām, lai uzdotu pārlūkprogrammām sesijas laikā ieviest noteiktas drošības politikas. [S1] [S2]. Šīs galvenes darbojas kā kritisks padziļinātas aizsardzības slānis, mazinot riskus, kurus, iespējams, nevar pilnībā novērst, izmantojot tikai lietojumprogrammu loģiku.

Satura drošības politika (CSP)

Satura drošības politika (CSP) ir drošības slānis, kas palīdz atklāt un mazināt noteikta veida uzbrukumus, tostarp starpvietņu skriptēšanu (XSS) un datu ievadīšanas uzbrukumus [S1]. Definējot politiku, kas nosaka, kurus dinamiskos resursus ir atļauts ielādēt, CSP neļauj pārlūkprogrammai izpildīt ļaunprātīgus skriptus, ko injicējis uzbrucējs [S1]. Tas efektīvi ierobežo nesankcionēta koda izpildi pat tad, ja lietojumprogrammā pastāv ievainojamība.

HTTP stingra transporta drošība (HSTS)

HTTP stingrā transporta drošība (HSTS) ir mehānisms, kas ļauj vietnei informēt pārlūkprogrammas, ka tai vajadzētu piekļūt, tikai izmantojot HTTPS, nevis HTTP [S2]. Tas aizsargā pret protokola pazemināšanas uzbrukumiem un sīkfailu nolaupīšanu, nodrošinot, ka visa saziņa starp klientu un serveri tiek šifrēta [S2]. Kad pārlūkprogramma saņem šo galveni, tā automātiski pārveidos visus turpmākos mēģinājumus piekļūt vietnei, izmantojot HTTP, par HTTPS pieprasījumiem.

Trūkstošu virsrakstu drošības sekas

Lietojumprogrammām, kurām neizdodas ieviest šīs galvenes, ir ievērojami lielāks klienta puses kompromisa risks. Satura drošības politikas neesamība ļauj izpildīt neatļautus skriptus, kas var izraisīt sesiju nolaupīšanu, nesankcionētu datu izfiltrēšanu vai sabojāšanu. [S1]. Tāpat HSTS galvenes trūkums padara lietotājus uzņēmīgus pret uzbrukumiem vidū (MITM), jo īpaši sākotnējā savienojuma fāzē, kad uzbrucējs var pārtvert trafiku un novirzīt lietotāju uz ļaunprātīgu vai nešifrētu vietnes [S2] versiju.

Kā FixVibe to pārbauda

FixVibe tas jau ir iekļauts kā pasīvā skenēšanas pārbaude. headers.security-headers pārbauda publiskos HTTP atbildes metadatus, lai noteiktu Content-Security-Policy, Strict-Transport-Security, X-Frame-Options vai ZXCVFIXVIBETOKEN4ZVCENCENVIXVIX, ZBETOKENC, ZXCVX, Referrer-Policy un Permissions-Policy. Tas ziņo par trūkstošām vai vājām vērtībām bez izmantošanas zondēm, un tā labošanas uzvedne sniedz izvietošanai gatavu galvenes piemērus parastajiem lietotņu un CDN iestatījumiem.

Atveseļošanas norādījumi

Lai uzlabotu drošības stāvokli, tīmekļa serveri ir jākonfigurē, lai atgrieztu šīs galvenes visos ražošanas maršrutos. Izturīgs CSP ir jāpielāgo lietojumprogrammas specifiskajām resursu prasībām, izmantojot tādas direktīvas kā script-src un object-src, lai ierobežotu skriptu izpildes vides [S1]. Transporta drošības nolūkos Strict-Transport-Security galvene ir jāiespējo ar atbilstošu max-age direktīvu, lai nodrošinātu pastāvīgu aizsardzību visā lietotāja sesijās [S2].