FixVibe
Covered by FixVibemedium

അപര്യാപ്തമായ സുരക്ഷാ തലക്കെട്ട് കോൺഫിഗറേഷൻ

ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് (XSS), ക്ലിക്ക്ജാക്കിംഗ്, ഡാറ്റാ കുത്തിവയ്പ്പ് എന്നിവയ്ക്ക് ഉപയോക്താക്കളെ തുറന്നുകാട്ടുന്നതിന് ആവശ്യമായ സുരക്ഷാ തലക്കെട്ടുകൾ നടപ്പിലാക്കുന്നതിൽ വെബ് ആപ്ലിക്കേഷനുകൾ പലപ്പോഴും പരാജയപ്പെടുന്നു. സ്ഥാപിതമായ വെബ് സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങൾ പാലിക്കുന്നതിലൂടെയും MDN ഒബ്സർവേറ്ററി പോലെയുള്ള ഓഡിറ്റിംഗ് ടൂളുകൾ ഉപയോഗിക്കുന്നതിലൂടെയും, സാധാരണ ബ്രൗസർ അടിസ്ഥാനമാക്കിയുള്ള ആക്രമണങ്ങൾക്കെതിരെ ഡവലപ്പർമാർക്ക് അവരുടെ ആപ്ലിക്കേഷനുകൾ ഗണ്യമായി കഠിനമാക്കാൻ കഴിയും.

CWE-693

ആഘാതം

സെക്യൂരിറ്റി ഹെഡറുകളുടെ അഭാവം ആക്രമണകാരികളെ ക്ലിക്ക്ജാക്കിംഗ് നടത്താനോ സെഷൻ കുക്കികൾ മോഷ്ടിക്കാനോ ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് (XSS) [S1] നടപ്പിലാക്കാനോ അനുവദിക്കുന്നു. ഈ നിർദ്ദേശങ്ങളില്ലാതെ, ബ്രൗസറുകൾക്ക് സുരക്ഷാ അതിരുകൾ നടപ്പിലാക്കാൻ കഴിയില്ല, ഇത് സാധ്യതയുള്ള ഡാറ്റാ എക്‌സ്‌ഫിൽട്രേഷനിലേക്കും അനധികൃത ഉപയോക്തൃ പ്രവർത്തനങ്ങളിലേക്കും നയിക്കുന്നു [S2].

മൂലകാരണം

സാധാരണ HTTP സുരക്ഷാ തലക്കെട്ടുകൾ ഉൾപ്പെടുത്തുന്നതിനായി വെബ് സെർവറുകളോ ആപ്ലിക്കേഷൻ ചട്ടക്കൂടുകളോ കോൺഫിഗർ ചെയ്യുന്നതിൽ പരാജയപ്പെട്ടതാണ് പ്രശ്നം. വികസനം പലപ്പോഴും പ്രവർത്തനക്ഷമമായ HTML, CSS [S1] എന്നിവയ്ക്ക് മുൻഗണന നൽകുമ്പോൾ, സുരക്ഷാ കോൺഫിഗറേഷനുകൾ പലപ്പോഴും ഒഴിവാക്കപ്പെടുന്നു. MDN ഒബ്സർവേറ്ററി പോലുള്ള ഓഡിറ്റിംഗ് ടൂളുകൾ രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത് ഈ നഷ്‌ടമായ പ്രതിരോധ പാളികൾ കണ്ടെത്തുന്നതിനും ബ്രൗസറും സെർവറും തമ്മിലുള്ള ഇടപെടൽ സുരക്ഷിതമാണെന്ന് ഉറപ്പാക്കാനും [S2] ആണ്.

സാങ്കേതിക വിശദാംശങ്ങൾ

പൊതുവായ കേടുപാടുകൾ ലഘൂകരിക്കുന്നതിന് സുരക്ഷാ തലക്കെട്ടുകൾ ബ്രൗസറിന് പ്രത്യേക സുരക്ഷാ നിർദ്ദേശങ്ങൾ നൽകുന്നു:

  • ഉള്ളടക്ക സുരക്ഷാ നയം (CSP): അനധികൃത സ്‌ക്രിപ്റ്റ് എക്‌സിക്യൂഷനും ഡാറ്റാ കുത്തിവയ്‌പ്പും തടയുന്ന, ഏത് ഉറവിടങ്ങളാണ് ലോഡ് ചെയ്യാൻ കഴിയുക എന്നത് നിയന്ത്രിക്കുന്നു [S1].
  • കർശന-ഗതാഗത-സുരക്ഷ (HSTS): സുരക്ഷിതമായ HTTPS കണക്ഷനുകളിലൂടെ മാത്രമേ ബ്രൗസർ ആശയവിനിമയം നടത്തുകയുള്ളൂവെന്ന് ഉറപ്പാക്കുന്നു [S2].
  • എക്സ്-ഫ്രെയിം-ഓപ്ഷനുകൾ: ഒരു iframe-ൽ റെൻഡർ ചെയ്യുന്നതിൽ നിന്ന് ആപ്ലിക്കേഷൻ തടയുന്നു, [S1] ക്ലിക്ക്ജാക്കിംഗിനെതിരായ പ്രാഥമിക പ്രതിരോധമാണിത്.
  • X-ഉള്ളടക്ക-തരം-ഓപ്ഷനുകൾ: വ്യക്തമാക്കിയിട്ടുള്ളതിൽ നിന്ന് വ്യത്യസ്തമായ MIME തരമായി ഫയലുകൾ വ്യാഖ്യാനിക്കുന്നതിൽ നിന്ന് ബ്രൗസറിനെ തടയുന്നു, MIME-സ്നിഫിംഗ് ആക്രമണങ്ങൾ [S2] നിർത്തുന്നു.

എങ്ങനെയാണ് FixVibe അതിനായി പരീക്ഷിക്കുന്നത്

FixVibe ഒരു വെബ് ആപ്ലിക്കേഷൻ്റെ HTTP പ്രതികരണ തലക്കെട്ടുകൾ വിശകലനം ചെയ്യുന്നതിലൂടെ ഇത് കണ്ടെത്താനാകും. By benchmarking the results against the MDN Observatory standards [S2], FixVibe can flag missing or misconfigured headers such as CSP, HSTS, and X-Frame-Options.

പരിഹരിക്കുക

[S1]-യുടെ ഭാഗമായി എല്ലാ പ്രതികരണങ്ങളിലും ഇനിപ്പറയുന്ന തലക്കെട്ടുകൾ ഉൾപ്പെടുത്തുന്നതിന് വെബ് സെർവറോ (ഉദാ. Nginx, Apache) ആപ്ലിക്കേഷൻ മിഡിൽവെയറോ അപ്‌ഡേറ്റ് ചെയ്യുക:

  • ഉള്ളടക്ക-സുരക്ഷാ-നയം: വിശ്വസനീയമായ ഡൊമെയ്‌നുകളിലേക്ക് റിസോഴ്‌സ് സ്രോതസ്സുകളെ പരിമിതപ്പെടുത്തുക.
  • കർശന-ഗതാഗത-സുരക്ഷ: നീണ്ട max-age ഉപയോഗിച്ച് HTTPS നടപ്പിലാക്കുക.
  • X-ഉള്ളടക്ക-തരം-ഓപ്‌ഷനുകൾ: nosniff [S2] ആയി സജ്ജമാക്കുക.
  • എക്സ്-ഫ്രെയിം-ഓപ്ഷനുകൾ: ക്ലിക്ക്ജാക്കിംഗ് [S1] തടയുന്നതിന് DENY അല്ലെങ്കിൽ SAMEORIGIN ആയി സജ്ജമാക്കുക.