FixVibe
Covered by FixVibemedium

လုံခြုံရေး ခေါင်းစီးဖွဲ့စည်းမှု မလုံလောက်ပါ။

ZXCVFIXVIBESEG၂ ဝဘ်အပလီကေးရှင်းများသည် မရှိမဖြစ်လိုအပ်သော လုံခြုံရေးဆိုင်ရာ ခေါင်းစီးများကို အကောင်အထည်ဖော်ရန် မကြာခဏ ပျက်ကွက်လေ့ရှိပြီး သုံးစွဲသူများသည် ဆိုက်စုံစခရစ်တင်ခြင်း (XSS)၊ ကလစ်ဂျက်ထိုးခြင်းနှင့် ဒေတာထိုးခြင်းတို့ကို ကြုံတွေ့ခဲ့ရသည်။ သတ်မှတ်ထားသော ဝဘ်လုံခြုံရေးလမ်းညွှန်ချက်များကို လိုက်နာပြီး MDN Observatory ကဲ့သို့သော စာရင်းစစ်ကိရိယာများကို အသုံးပြုခြင်းဖြင့်၊ ဆော့ဖ်ဝဲအင်ဂျင်နီယာများသည် ၎င်းတို့၏အက်ပ်လီကေးရှင်းများကို သာမန်ဘရောက်ဆာအခြေခံတိုက်ခိုက်မှုများကို သိသိသာသာ ခိုင်မာစေနိုင်သည်။

CWE-693

ထိခိုက်မှု

လုံခြုံရေးဆိုင်ရာ ခေါင်းစီးများမရှိခြင်းကြောင့် တိုက်ခိုက်သူများသည် clickjacking လုပ်ဆောင်ရန်၊ session cookies များကိုခိုးယူရန်၊ သို့မဟုတ် cross-site scripting (XSS) [S1] ကို လုပ်ဆောင်နိုင်စေပါသည်။ ဤညွှန်ကြားချက်များမပါဘဲ၊ ဘရောက်ဆာများသည် လုံခြုံရေးစည်းမျဥ်းများကို တွန်းလှန်နိုင်မည်မဟုတ်သောကြောင့် ဖြစ်နိုင်ချေရှိသော ဒေတာများကို ထုတ်ယူခြင်းနှင့် ခွင့်ပြုချက်မရှိဘဲ အသုံးပြုသူများ၏ လုပ်ဆောင်ချက်များ [S2] ကိုဖြစ်ပေါ်စေပါသည်။

အကြောင်းအရင်း

ပြဿနာသည် စံ HTTP လုံခြုံရေး ခေါင်းစီးများ ထည့်သွင်းရန်အတွက် ဝဘ်ဆာဗာများ သို့မဟုတ် အပလီကေးရှင်းဘောင်များကို ပြင်ဆင်သတ်မှတ်ရန် ပျက်ကွက်ခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ ဖွံ့ဖြိုးတိုးတက်မှုသည် လုပ်ဆောင်နိုင်သော HTML နှင့် CSS [S1] ကို ဦးစားပေးလေ့ရှိသော်လည်း လုံခြုံရေးပုံစံများကို မကြာခဏ ချန်လှပ်ထားသည်။ MDN Observatory ကဲ့သို့သော စာရင်းစစ်ကိရိယာများသည် ဤပျောက်ဆုံးနေသော ကာကွယ်ရေးအလွှာများကို ရှာဖွေတွေ့ရှိရန်နှင့် ဘရောက်ဆာနှင့် ဆာဗာကြား အပြန်အလှန်ဆက်သွယ်မှုသည် လုံခြုံကြောင်းသေချာစေရန် [S2] ကို ဒီဇိုင်းထုတ်ထားသည်။

နည်းပညာအသေးစိတ်

လုံခြုံရေးဆိုင်ရာ ခေါင်းစီးများသည် အများအားဖြင့် အားနည်းချက်များကို လျော့ပါးစေရန် ဘရောင်ဇာအား တိကျသော လုံခြုံရေးလမ်းညွှန်ချက်များ ပေးသည်-

  • အကြောင်းအရာလုံခြုံရေးမူဝါဒ (CSP): မည်သည့်အရင်းအမြစ်များကို တင်ဆောင်နိုင်သည်ကို ထိန်းချုပ်ခြင်း၊ ခွင့်ပြုချက်မရှိဘဲ script လည်ပတ်ခြင်းနှင့် ဒေတာထိုးခြင်း [S1] ကို ထိန်းချုပ်ပါသည်။

ZXCVFIXVIBESEG၁၀

  • Strict-Transport-Security (HSTS): ဘရောက်ဆာသည် လုံခြုံသော HTTPS ချိတ်ဆက်မှုများ [S2] မှသာလျှင် ဆက်သွယ်ကြောင်း သေချာစေသည်။

ZXCVFIXVIBESEG ၁၁

  • X-Frame-Options- အပလီကေးရှင်းအား iframe တွင် ပြန်ဆိုခြင်းမှ တားဆီးပေးသည်
  • X-Content-Type-Options- သတ်မှတ်ထားသော MIME အမျိုးအစားထက် မတူညီသော MIME အမျိုးအစားအဖြစ် ဖိုင်များကို ဘရောက်ဆာအား ဘာသာပြန်ခြင်းမှ တားဆီးကာ MIME-sniffing attacks [S2] ကို ရပ်တန့်စေပါသည်။

ZXCVFIXVIBESEG၁၃

FixVibe စမ်းသပ်နည်း

ZXCVFIXVIBESEG ၁၄ FixVibe သည် ဝဘ်အပလီကေးရှင်းတစ်ခု၏ HTTP တုံ့ပြန်မှု ခေါင်းစီးများကို ပိုင်းခြားစိတ်ဖြာခြင်းဖြင့် ၎င်းကို သိရှိနိုင်သည်။ MDN Observatory စံနှုန်းများကို [S2]၊ FixVibe မှ ရလဒ်များကို စံအမှတ်အသားပြုခြင်းဖြင့် CSP၊ HSTS နှင့် X-Frame-Options များကဲ့သို့ ပျောက်ဆုံးနေသော သို့မဟုတ် သတ်မှတ်ပုံမှားနေသော ခေါင်းစီးများကို အလံပြနိုင်သည်။

##ပြင်ပါ။ ZXCVFIXVIBESEG၁၆ စံလုံခြုံရေးပုံစံ [S1] ၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့် တုံ့ပြန်မှုများအားလုံးတွင် အောက်ပါခေါင်းစီးများပါဝင်ရန် ဝဘ်ဆာဗာ (ဥပမာ၊ Nginx၊ Apache) သို့မဟုတ် အပလီကေးရှင်း အလယ်တန်းဆော့ဖ်ဝဲကို အပ်ဒိတ်လုပ်ပါ။

  • Content-Security-Policy- အရင်းအမြစ်အရင်းအမြစ်များကို ယုံကြည်ရသော ဒိုမိန်းများသို့ ကန့်သတ်ပါ။
  • Strict-Transport-Security- ရှည်လျားသော max-age ဖြင့် HTTPS ကို အသုံးပြုပါ။
  • X-Content-Type-Options- nosniff [S2] သို့ သတ်မှတ်ပါ။
  • X-Frame-Options- DENY သို့မဟုတ် SAMEORIGIN တွင် ကလစ်ဂျက်ခြင်းကို တားဆီးရန် [S1] သို့ သတ်မှတ်ပါ။