FixVibe
Covered by FixVibemedium

Несоодветна конфигурација на заглавието за безбедност

Веб-апликациите честопати не успеваат да ги имплементираат основните безбедносни заглавија, оставајќи ги корисниците изложени на скриптирање меѓу страници (XSS), кликнување и вбризгување податоци. Следејќи ги воспоставените упатства за веб-безбедност и користејќи алатки за ревизија како MDN опсерваторијата, програмерите можат значително да ги зацврстат своите апликации против вообичаени напади базирани на прелистувачи.

CWE-693

Влијание

Отсуството на безбедносни заглавија им овозможува на напаѓачите да вршат кликање, да украдат колачиња од сесијата или да извршат скриптирање меѓу страници (XSS) [S1]. Без овие упатства, прелистувачите не можат да наметнат безбедносни граници, што доведува до потенцијална ексфилтрација на податоци и неовластени кориснички дејства [S2].

Основна причина

Проблемот произлегува од неуспехот да се конфигурираат веб-сервери или рамки за апликации за да вклучуваат стандардни безбедносни заглавија на HTTP. Додека развојот често дава приоритет на функционалните HTML и CSS [S1], безбедносните конфигурации често се испуштаат. Алатките за ревизија, како што е опсерваторијата MDN, се дизајнирани да ги детектираат овие одбранбени слоеви што недостасуваат и да гарантираат дека интеракцијата помеѓу прелистувачот и серверот е безбедна [S2].

Технички детали

Безбедносните заглавија му даваат на прелистувачот специфични безбедносни директиви за ублажување на вообичаените пропусти:

  • Политика за безбедност на содржината (CSP): Контролира кои ресурси може да се вчитаат, спречувајќи неовластено извршување на скрипта и вбризгување податоци [S1].
  • Строга безбедност на транспортот (HSTS): Обезбедува дека прелистувачот комуницира само преку безбедни HTTPS врски [S2].
  • Опции за X-Frame: Спречува прикажување на апликацијата во iframe, што е примарна одбрана од кликнување [S1].
  • X-Content-Type-Options: Спречува прелистувачот да ги толкува датотеките како различен MIME тип од она што е наведено, запирајќи ги нападите со MIME-sniffing [S2].

Како FixVibe тестира за него

FixVibe може да го открие ова со анализа на заглавијата на одговор HTTP на веб-апликацијата. Со споредување на резултатите во однос на стандардите на опсерваторијата MDN, [S2], FixVibe може да ги означи исчезнатите или погрешно конфигурирани заглавија како што се CSP, ZXCVFIXVIBETOKEN,- и XCVFIXCVBETOKEN4ZXs.

Поправи

Ажурирајте го веб-серверот (на пр., Nginx, Apache) или средниот софтвер на апликацијата за да ги вклучи следните заглавија во сите одговори како дел од стандардната безбедносна положба [S1]:

  • Content-Security-Policy: Ограничете ги изворите на ресурсите на доверливи домени.
  • Строга безбедност на транспортот: наметнете HTTPS со долг max-age.
  • X-Content-Type-Options: Поставете на nosniff [S2].
  • Опции за X-Frame: Поставете го на DENY или SAMEORIGIN за да спречите кликнување [S1].