FixVibe
Covered by FixVibemedium

HTTP аюулгүй байдлын гарчиг: Хөтөчөөс хамгаалахад зориулж CSP болон HSTS-г хэрэгжүүлж байна.

Энэхүү судалгаа нь вэб программыг Сайт хоорондын скрипт (ZXCVFIXVIBETOKEN1ZXVEN0) зэрэг нийтлэг эмзэг байдлаас хамгаалахад, тухайлбал, Агуулгын аюулгүй байдлын бодлого (CSP) болон HTTP тээврийн аюулгүй байдлын (HSTS) чухал үүргийг судлах болно.

CWE-1021CWE-79CWE-319

Хамгаалалтын толгойн үүрэг

HTTP аюулгүй байдлын толгойнууд нь вэб программуудад зориулсан стандартчилсан механизмаар хангадаг бөгөөд [S1] [S2] сессийн үеэр тусгай хамгаалалтын бодлогыг хэрэгжүүлэхийг хөтчүүдэд зааварчилдаг. Эдгээр толгойнууд нь зөвхөн хэрэглээний логикоор бүрэн шийдвэрлэгдэх боломжгүй эрсдлийг бууруулж, гүн гүнзгий хамгаалалтын чухал давхарга болж ажилладаг.

Агуулгын аюулгүй байдлын бодлого (CSP)

Агуулгын аюулгүй байдлын бодлого (CSP) нь Сайт хоорондын скрипт (XSS) болон [S1] өгөгдөл оруулах халдлага зэрэг зарим төрлийн халдлагыг илрүүлэх, багасгахад тусалдаг хамгаалалтын давхарга юм. CSP нь ямар динамик нөөцийг ачаалахыг зааж өгсөн бодлогыг тодорхойлсноор [S1] халдагчийн оруулсан хортой скриптүүдийг хөтчөөс гүйцэтгэхээс сэргийлдэг. Энэ нь програмд ​​тарилгын сул тал байгаа ч зөвшөөрөлгүй кодыг гүйцэтгэхийг үр дүнтэйгээр хязгаарладаг.

HTTP Тээврийн аюулгүй байдал (HSTS)

HTTP Strict Transport Security (HSTS) нь вэб сайтад HTTP [S2] биш, зөвхөн HTTPS ашиглан хандах ёстойг хөтчүүдэд мэдэгдэх боломжийг олгодог механизм юм. Энэ нь клиент болон серверийн хоорондох бүх харилцааг [S2] шифрлэгдсэнээр баталгаажуулснаар протоколыг бууруулах халдлага болон күүки хулгайлахаас хамгаална. Хөтөч энэ толгой хэсгийг хүлээн авмагц HTTP-ээр дамжуулан сайт руу нэвтрэх дараагийн оролдлогуудыг автоматаар HTTPS хүсэлт болгон хувиргах болно.

Алга болсон толгойн аюулгүй байдлын үр дагавар

Эдгээр толгой хэсгийг хэрэгжүүлж чадахгүй байгаа програмууд нь үйлчлүүлэгчийн эвдрэлд өртөх эрсдэл өндөр байдаг. Агуулгын аюулгүй байдлын бодлого байхгүй байгаа нь зөвшөөрөлгүй скриптүүдийг гүйцэтгэх боломжийг олгодог бөгөөд энэ нь сесс хулгайлах, зөвшөөрөлгүй өгөгдөл гадагшлуулах, [S1]-г эвдэх зэрэгт хүргэж болзошгүй юм. Үүний нэгэн адил HSTS гарчиг байхгүй байгаа нь хэрэглэгчдийг хүн-in-the-middle (MITM) халдлагад өртөмтгий болгодог, ялангуяа холболтын эхний үе шатанд халдагчид траффикийг таслан зогсоож, хэрэглэгчийг ZXCVFIXVIBETOKEN1ZXC сайтын хортой эсвэл шифрлэгдээгүй хувилбар руу дахин чиглүүлэх боломжтой.

FixVibe үүнийг хэрхэн туршиж үздэг

FixVibe үүнийг аль хэдийн идэвхгүй скан шалгалт болгон оруулсан байна. headers.security-headers нь олон нийтийн HTTP хариултын мета өгөгдлийг Content-Security-Policy, Strict-Transport-Security, X-Frame-Options эсвэл ZXCVFIXVIBETOKEN4ZOKCXVCVX, ZXCVFIXVIBETOKEN4ZOKCXVCVC, ZXCVFIXVIBETOKEN4ZOKCXVCVC, байгаа эсэхийг шалгадаг. Referrer-Policy, болон Permissions-Policy. Энэ нь ашиглалтын шалгалтгүйгээр дутуу эсвэл сул утгуудыг мэдээлдэг бөгөөд түүний засварын сануулга нь нийтлэг програм болон CDN тохиргоонд ашиглахад бэлэн толгойн жишээг өгдөг.

Засварлах заавар

Аюулгүй байдлын төлөв байдлыг сайжруулахын тулд вэб серверүүд эдгээр толгойнуудыг үйлдвэрлэлийн бүх зам дээр буцаахаар тохируулагдсан байх ёстой. Бат бөх CSP нь ZXCVFIXVIBETOKEN4ZXC скрипт ажиллах орчныг хязгаарлахын тулд script-src болон object-src зэрэг удирдамжийг ашиглан програмын тусгай нөөцийн шаардлагад тохируулсан байх ёстой. Тээврийн аюулгүй байдлын үүднээс Strict-Transport-Security гарчиг нь [S2] хэрэглэгчийн сессийн хооронд байнгын хамгаалалтыг хангахын тулд зохих max-age зааварчилгааг идэвхжүүлсэн байх ёстой.