Влијание
Неуспехот да се имплементираат безбедносни критични конфигурации може да ги остави веб-апликациите изложени на ризици на ниво на прелистувач и на ниво на транспорт. Алатките за автоматско скенирање помагаат да се идентификуваат овие празнини со анализа на тоа како се применуваат веб-стандардите во HTML, CSS и JavaScript [S1]. Раното идентификување на овие ризици им овозможува на програмерите да ги решат слабостите на конфигурацијата пред да можат да ги користат надворешните актери [S1].
Основна причина
Примарната причина за овие пропусти е изоставувањето на безбедносно-критичните заглавија на одговор на HTTP или несоодветната конфигурација на веб-стандардите [S1]. Програмерите може да им дадат приоритет на функционалноста на апликацијата, притоа превидувајќи ги безбедносните инструкции на ниво на прелистувач потребни за модерна безбедност на веб-страниците [S1].
Бетонски поправки
- Ревизија на безбедносни конфигурации: Редовно користете алатки за скенирање за да ја потврдите имплементацијата на критичните заглавија од безбедноста и конфигурации низ апликацијата [S1].
- Се придржувајте до веб-стандардите: Погрижете се имплементациите на HTML, CSS и JavaScript да ги следат безбедносните упатства за кодирање како што се документирани од главните веб-платформи за да се одржи стабилна безбедносна положба [S1].
Како FixVibe тестира за него
FixVibe веќе го покрива ова преку пасивниот модул за скенер headers.security-headers. За време на нормално пасивно скенирање, FixVibe ја презема целта како прелистувач и го проверува коренскиот одговор на HTML за CSP, HSTS, X-Frame-Options, X-Content-Type-Perlicy-Options, и Perlicy-Options. Наодите остануваат пасивни и засновани на изворот: скенерот известува за точниот слаб или исчезнат заглавие на одговор без да испраќа товари за експлоатација.