FixVibe
Covered by FixVibemedium

Nepietiekama drošības galvenes konfigurācija

Tīmekļa lietojumprogrammās bieži neizdodas ieviest būtiskas drošības galvenes, atstājot lietotājus pakļauti starpvietņu skriptiem (XSS), klikšķu uzlaušanai un datu ievadīšanai. Ievērojot noteiktās tīmekļa drošības vadlīnijas un izmantojot auditēšanas rīkus, piemēram, MDN observatoriju, izstrādātāji var ievērojami uzlabot savas lietojumprogrammas pret izplatītākajiem pārlūkprogrammu uzbrukumiem.

CWE-693

Ietekme

Drošības galveņu neesamība ļauj uzbrucējiem veikt klikšķu uzlaupīšanu, nozagt sesijas sīkfailus vai izpildīt starpvietņu skriptēšanu (XSS) [S1]. Bez šiem norādījumiem pārlūkprogrammas nevar ieviest drošības robežas, kā rezultātā iespējama datu izfiltrēšana un nesankcionētas lietotāja darbības [S2].

Galvenais cēlonis

Problēma izriet no nespējas konfigurēt tīmekļa serverus vai lietojumprogrammu ietvarus, lai iekļautu standarta HTTP drošības galvenes. Lai gan izstrādē bieži prioritāte ir funkcionālajam HTML un CSS [S1], drošības konfigurācijas bieži tiek izlaistas. Audita rīki, piemēram, MDN observatorija, ir paredzēti, lai atklātu šos trūkstošos aizsardzības slāņus un nodrošinātu, ka pārlūkprogrammas un servera mijiedarbība ir droša. [S2].

Tehniskā informācija

Drošības galvenes nodrošina pārlūkprogrammai īpašas drošības direktīvas, lai mazinātu izplatītās ievainojamības:

  • Satura drošības politika (CSP): kontrolē, kurus resursus var ielādēt, novēršot nesankcionētu skriptu izpildi un datu ievadīšanu. [S1].
  •  Stingrā transporta drošība (HSTS): nodrošina, ka pārlūkprogramma sazinās tikai, izmantojot drošus HTTPS savienojumus [S2].
  • X-Frame-Options: neļauj lietojumprogrammai renderēt iframe, kas ir galvenā aizsardzība pret klikšķu uzlaupīšanu [S1].
  • X-Content-Type-Options: neļauj pārlūkprogrammai interpretēt failus kā citu MIME veidu, nekā norādīts, apturot MIME sniffing uzbrukumus [S2].

Kā FixVibe to pārbauda

FixVibe to varētu noteikt, analizējot tīmekļa lietojumprogrammas HTTP atbildes galvenes. Salīdzinot rezultātus ar MDN observatorijas standartiem [S2], FixVibe, var atzīmēt trūkstošos vai nepareizi konfigurētās galvenes, piemēram, CSP, ZXCVFIXVIBETOKEN4XFXCV,- un.

Labot

Atjauniniet tīmekļa serveri (piemēram, Nginx, Apache) vai lietojumprogrammas starpprogrammatūru, lai iekļautu tālāk norādītās galvenes visās atbildēs kā daļu no standarta drošības stāvokļa [S1]:

  • Satura drošības politika: ierobežojiet resursu avotus līdz uzticamiem domēniem.
  •  Stingrā transporta drošība: ieviešiet HTTPS, izmantojot garu max-age.
  • X-Content-Type-Options: iestatiet uz nosniff [S2].
  • X-Frame-Options: iestatiet uz DENY vai SAMEORIGIN, lai novērstu klikšķu pārņemšanu [S1].