Улогата на безбедносните заглавија
Безбедносните заглавија на HTTP обезбедуваат стандардизиран механизам за веб-апликациите да им наложат на прелистувачите да спроведуваат специфични безбедносни политики за време на сесијата [S1] [S2]. Овие заглавија делуваат како критичен слој на длабинска одбрана, ублажувајќи ги ризиците кои можеби не се целосно решени само со логиката на апликацијата.
Политика за безбедност на содржината (CSP)
Политиката за безбедност на содржината (CSP) е безбедносен слој кој помага во откривање и ублажување на одредени видови напади, вклучувајќи скрипти меѓу страници (XSS) и напади со вбризгување податоци [S1]. Со дефинирање на политика која одредува кои динамички ресурси се дозволени да се вчитуваат, CSP го спречува прелистувачот да извршува злонамерни скрипти инјектирани од напаѓачот [S1]. Ова ефикасно го ограничува извршувањето на неовластен код дури и ако постои ранливост за инјектирање во апликацијата.
HTTP строга транспортна безбедност (HSTS)
HTTP Strict Transport Security (HSTS) е механизам кој им овозможува на веб-локацијата да ги информира прелистувачите дека треба да се пристапи само со помош на HTTPS, наместо HTTP [S2]. Ова заштитува од напади за намалување на протоколот и киднапирање колачиња со тоа што се осигурува дека целата комуникација помеѓу клиентот и серверот е шифрирана [S2]. Откако прелистувачот ќе го прими ова заглавие, тој автоматски ќе ги конвертира сите последователни обиди за пристап до страницата преку HTTP во барања за HTTPS.
Безбедносни импликации на исчезнатите заглавија
Апликациите што не успеваат да ги имплементираат овие заглавија се изложени на значително поголем ризик од компромис од страна на клиентот. Отсуството на Политика за безбедност на содржината овозможува извршување на неовластени скрипти, што може да доведе до киднапирање на сесии, неовластено ексфилтрација на податоци или обезличување на [S1]. Слично на тоа, недостатокот на заглавие HSTS ги остава корисниците подложни на напади од човек во средината (MITM), особено за време на почетната фаза на поврзување, каде што напаѓачот може да го пресретне сообраќајот и да го пренасочи корисникот кон злонамерна или нешифрирана верзија на страницата ZXCVFIXZVIBETOKEN1.
Како FixVibe тестира за него
FixVibe веќе го вклучува ова како пасивна проверка на скенирање. headers.security-headers ги проверува јавните метаподатоци за одговор на HTTP за присуство и јачина на Content-Security-Policy, Strict-Transport-Security, X-Frame-Options или ZXCVFIXZVIBETOKEN4, X-Content-Type-Options, Referrer-Policy и Permissions-Policy. Пријавува исчезнати или слаби вредности без сонди за експлоатација, а неговото известување за поправка дава примери за заглавие подготвени за распоредување за вообичаени поставувања за апликации и CDN.
Упатство за санација
За да се подобри безбедносното држење, веб-серверите мора да бидат конфигурирани да ги враќаат овие заглавија на сите производствени рути. Цврст CSP треба да се прилагоди на специфичните барања за ресурси на апликацијата, користејќи директиви како script-src и object-src за ограничување на околините за извршување скрипти ZXCVFIXXVIBETOKEN4. За безбедност на транспортот, заглавието Strict-Transport-Security треба да биде овозможено со соодветна max-age директива за да се обезбеди постојана заштита низ корисничките сесии [S2].