FixVibe
Covered by FixVibemedium

HTTP സുരക്ഷാ തലക്കെട്ടുകൾ: ബ്രൗസർ-സൈഡ് ഡിഫൻസിനായി CSP, HSTS എന്നിവ നടപ്പിലാക്കുന്നു

ക്രോസ്-സൈറ്റ് സ്‌ക്രിപ്‌റ്റിംഗ് (VIZCVECVXET FIX) പോലുള്ള പൊതുവായ കേടുപാടുകളിൽ നിന്ന് വെബ് ആപ്ലിക്കേഷനുകളെ സംരക്ഷിക്കുന്നതിൽ HTTP സുരക്ഷാ തലക്കെട്ടുകളുടെ, പ്രത്യേകിച്ച് ഉള്ളടക്ക സുരക്ഷാ നയവും (CSP), HTTP കർശന ഗതാഗത സുരക്ഷയും (HSTS) നിർണായക പങ്ക് ഈ ഗവേഷണം പര്യവേക്ഷണം ചെയ്യുന്നു. പ്രോട്ടോക്കോൾ ഡൗൺഗ്രേഡ് ആക്രമണങ്ങൾ.

CWE-1021CWE-79CWE-319

സുരക്ഷാ തലക്കെട്ടുകളുടെ പങ്ക്

[S1] [S2] സെഷനിൽ പ്രത്യേക സുരക്ഷാ നയങ്ങൾ നടപ്പിലാക്കാൻ ബ്രൗസറുകൾക്ക് നിർദ്ദേശം നൽകുന്നതിന് വെബ് ആപ്ലിക്കേഷനുകൾക്കായി HTTP സുരക്ഷാ തലക്കെട്ടുകൾ ഒരു സ്റ്റാൻഡേർഡ് സംവിധാനം നൽകുന്നു. ഈ തലക്കെട്ടുകൾ പ്രതിരോധത്തിൻ്റെ ആഴത്തിലുള്ള ഒരു നിർണായക പാളിയായി പ്രവർത്തിക്കുന്നു, ആപ്ലിക്കേഷൻ ലോജിക്ക് കൊണ്ട് മാത്രം പൂർണ്ണമായി പരിഹരിക്കപ്പെടാത്ത അപകടസാധ്യതകൾ ലഘൂകരിക്കുന്നു.

ഉള്ളടക്ക സുരക്ഷാ നയം (CSP)

ഉള്ളടക്ക സുരക്ഷാ നയം (CSP) എന്നത് ക്രോസ്-സൈറ്റ് സ്‌ക്രിപ്റ്റിംഗ് (XSS), ഡാറ്റാ ഇൻജക്ഷൻ ആക്രമണങ്ങൾ [S1] എന്നിവയുൾപ്പെടെ ചില തരത്തിലുള്ള ആക്രമണങ്ങൾ കണ്ടെത്താനും ലഘൂകരിക്കാനും സഹായിക്കുന്ന ഒരു സുരക്ഷാ പാളിയാണ്. ഏത് ഡൈനാമിക് ഉറവിടങ്ങളാണ് ലോഡ് ചെയ്യാൻ അനുവദിച്ചിരിക്കുന്നതെന്ന് വ്യക്തമാക്കുന്ന ഒരു നയം നിർവചിക്കുന്നതിലൂടെ, CSP, ആക്രമണകാരിയായ [S1] കുത്തിവച്ച ക്ഷുദ്ര സ്ക്രിപ്റ്റുകൾ എക്സിക്യൂട്ട് ചെയ്യുന്നതിൽ നിന്ന് ബ്രൗസറിനെ തടയുന്നു. ആപ്ലിക്കേഷനിൽ ഒരു കുത്തിവയ്പ്പ് കേടുപാടുകൾ നിലവിലുണ്ടെങ്കിൽപ്പോലും ഇത് അനധികൃത കോഡിൻ്റെ നിർവ്വഹണത്തെ ഫലപ്രദമായി നിയന്ത്രിക്കുന്നു.

HTTP കർശനമായ ഗതാഗത സുരക്ഷ (HSTS)

HTTP കർശന ഗതാഗത സുരക്ഷ (HSTS) എന്നത് HTTP [S2] എന്നതിനുപകരം, HTTPS ഉപയോഗിച്ച് മാത്രമേ ആക്‌സസ് ചെയ്യാൻ പാടുള്ളൂ എന്ന് ബ്രൗസറുകളെ അറിയിക്കാൻ ഒരു വെബ്‌സൈറ്റിനെ അനുവദിക്കുന്ന ഒരു സംവിധാനമാണ്. ക്ലയൻ്റും സെർവറും തമ്മിലുള്ള എല്ലാ ആശയവിനിമയങ്ങളും [S2] എൻക്രിപ്റ്റ് ചെയ്തിട്ടുണ്ടെന്ന് ഉറപ്പാക്കിക്കൊണ്ട് പ്രോട്ടോക്കോൾ ഡൗൺഗ്രേഡ് ആക്രമണങ്ങളിൽ നിന്നും കുക്കി ഹൈജാക്കിംഗിൽ നിന്നും ഇത് പരിരക്ഷിക്കുന്നു. ബ്രൗസറിന് ഈ തലക്കെട്ട് ലഭിച്ചുകഴിഞ്ഞാൽ, അത് HTTP വഴി സൈറ്റ് ആക്‌സസ് ചെയ്യാനുള്ള എല്ലാ തുടർന്നുള്ള ശ്രമങ്ങളെയും HTTPS അഭ്യർത്ഥനകളാക്കി മാറ്റും.

തലക്കെട്ടുകൾ നഷ്‌ടപ്പെടുന്നതിൻ്റെ സുരക്ഷാ പ്രത്യാഘാതങ്ങൾ

ഈ തലക്കെട്ടുകൾ നടപ്പിലാക്കുന്നതിൽ പരാജയപ്പെടുന്ന ആപ്ലിക്കേഷനുകൾ ക്ലയൻ്റ്-സൈഡ് വിട്ടുവീഴ്ചയുടെ അപകടസാധ്യത വളരെ കൂടുതലാണ്. ഒരു ഉള്ളടക്ക സുരക്ഷാ നയത്തിൻ്റെ അഭാവം അനധികൃത സ്‌ക്രിപ്‌റ്റുകൾ നടപ്പിലാക്കാൻ അനുവദിക്കുന്നു, ഇത് സെഷൻ ഹൈജാക്കിംഗ്, അനധികൃത ഡാറ്റ എക്‌സ്‌ഫിൽട്രേഷൻ അല്ലെങ്കിൽ ഡിഫേസ്‌മെൻ്റ് [S1] എന്നിവയിലേക്ക് നയിച്ചേക്കാം. അതുപോലെ, ഒരു HSTS ഹെഡറിൻ്റെ അഭാവം ഉപയോക്താക്കളെ മാൻ-ഇൻ-ദി-മിഡിൽ (MITM) ആക്രമണങ്ങൾക്ക് വിധേയരാക്കുന്നു, പ്രത്യേകിച്ചും ആദ്യ കണക്ഷൻ ഘട്ടത്തിൽ, ഒരു ആക്രമണകാരിക്ക് ട്രാഫിക് തടസ്സപ്പെടുത്താനും ഉപയോക്താവിനെ ZXCVFIXVIBETOK എന്ന സൈറ്റിൻ്റെ ക്ഷുദ്രകരമായ അല്ലെങ്കിൽ എൻക്രിപ്റ്റ് ചെയ്യാത്ത പതിപ്പിലേക്ക് റീഡയറക്‌ടുചെയ്യാനും കഴിയും.

എങ്ങനെയാണ് FixVibe അതിനായി പരീക്ഷിക്കുന്നത്

FixVibe ഇത് ഇതിനകം ഒരു നിഷ്ക്രിയ സ്കാൻ പരിശോധനയായി ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. headers.security-headers, Content-Security-Policy, Strict-Transport-Security, X-Frame-Options അല്ലെങ്കിൽ ZXCVFIXVIBETOKEN4 എന്നിവയുടെ സാന്നിധ്യത്തിനും ശക്തിക്കും വേണ്ടി പൊതു HTTP പ്രതികരണ മെറ്റാഡാറ്റ പരിശോധിക്കുന്നു. X-Content-Type-Options, Referrer-Policy, Permissions-Policy. എക്സ്പ്ലോയിറ്റ് പ്രോബുകൾ ഇല്ലാതെ ഇത് നഷ്‌ടമായതോ ദുർബലമായതോ ആയ മൂല്യങ്ങൾ റിപ്പോർട്ട് ചെയ്യുന്നു, കൂടാതെ അതിൻ്റെ ഫിക്സ് പ്രോംപ്റ്റ് സാധാരണ ആപ്പിനും സിഡിഎൻ സജ്ജീകരണങ്ങൾക്കുമായി വിന്യസിക്കാൻ തയ്യാറായ തലക്കെട്ട് ഉദാഹരണങ്ങൾ നൽകുന്നു.

പരിഹാര മാർഗ്ഗനിർദ്ദേശം

സുരക്ഷാ പോസ്ചർ മെച്ചപ്പെടുത്തുന്നതിന്, എല്ലാ പ്രൊഡക്ഷൻ റൂട്ടുകളിലും ഈ ഹെഡറുകൾ തിരികെ നൽകുന്നതിന് വെബ് സെർവറുകൾ കോൺഫിഗർ ചെയ്തിരിക്കണം. സ്‌ക്രിപ്റ്റ് എക്‌സിക്യൂഷൻ എൻവയോൺമെൻ്റുകൾ പരിമിതപ്പെടുത്തുന്നതിന് script-src, object-src എന്നിവ പോലുള്ള നിർദ്ദേശങ്ങൾ ഉപയോഗിച്ച്, ആപ്ലിക്കേഷൻ്റെ നിർദ്ദിഷ്‌ട ഉറവിട ആവശ്യകതകൾക്ക് അനുയോജ്യമായ ഒരു ശക്തമായ CSP രൂപപ്പെടുത്തണം. ഗതാഗത സുരക്ഷയ്ക്കായി, [S2] ഉപയോക്തൃ സെഷനുകളിൽ ഉടനീളം സ്ഥിരമായ സംരക്ഷണം ഉറപ്പാക്കുന്നതിന് Strict-Transport-Security ഹെഡർ ഉചിതമായ max-age നിർദ്ദേശം ഉപയോഗിച്ച് പ്രവർത്തനക്ഷമമാക്കണം.