FixVibe
Covered by FixVibemedium

अपर्याप्त सुरक्षा हेडर कन्फिगरेसन

वेब एप्लिकेसनहरू प्रायः आवश्यक सुरक्षा हेडरहरू लागू गर्न असफल हुन्छन्, प्रयोगकर्ताहरूलाई क्रस-साइट स्क्रिप्टिङ (XSS), क्लिकज्याकिंग, र डेटा इन्जेक्सनमा पर्दा। स्थापित वेब सुरक्षा दिशानिर्देशहरू पछ्याएर र MDN अब्जर्भेटरी जस्ता अडिटिङ उपकरणहरू प्रयोग गरेर, विकासकर्ताहरूले सामान्य ब्राउजर-आधारित आक्रमणहरू विरुद्ध आफ्ना अनुप्रयोगहरूलाई महत्त्वपूर्ण रूपमा कडा बनाउन सक्छन्।

CWE-693

प्रभाव

सुरक्षा हेडरहरूको अनुपस्थितिले आक्रमणकर्ताहरूलाई क्लिकज्याकिंग गर्न, सत्र कुकीहरू चोर्न, वा क्रस-साइट स्क्रिप्टिङ (XSS) [S1] कार्यान्वयन गर्न अनुमति दिन्छ। यी निर्देशनहरू बिना, ब्राउजरहरूले सुरक्षा सीमाहरू लागू गर्न सक्दैन, जसले सम्भावित डेटा निष्कासन र अनाधिकृत प्रयोगकर्ता कार्यहरू [S2] निम्त्याउँछ।

मूल कारण

मानक HTTP सुरक्षा हेडरहरू समावेश गर्न वेब सर्भरहरू वा अनुप्रयोग फ्रेमवर्कहरू कन्फिगर गर्न असफलताबाट समस्या उत्पन्न हुन्छ। जबकि विकासले प्रायः कार्यात्मक HTML र CSS [S1] लाई प्राथमिकता दिन्छ, सुरक्षा कन्फिगरेसनहरू प्राय: हटाइन्छ। MDN अब्जर्भेटरी जस्ता अडिटिङ उपकरणहरू यी हराएको रक्षात्मक तहहरू पत्ता लगाउन र ब्राउजर र सर्भर बीचको अन्तरक्रिया सुरक्षित [S2] छ भनी सुनिश्चित गर्न डिजाइन गरिएको हो।

प्राविधिक विवरण

सुरक्षा हेडरहरूले ब्राउजरलाई सामान्य कमजोरीहरू कम गर्न विशेष सुरक्षा निर्देशनहरू प्रदान गर्दछ:

  • सामग्री सुरक्षा नीति (CSP): अनधिकृत स्क्रिप्ट कार्यान्वयन र डाटा इंजेक्शन [S1] लाई रोक्न, कुन स्रोतहरू लोड गर्न सकिन्छ भनेर नियन्त्रण गर्दछ।
  • कडा-ट्रान्सपोर्ट-सुरक्षा (HSTS): ब्राउजरले सुरक्षित HTTPS जडानहरू [S2] मार्फत मात्र सञ्चार गर्छ भन्ने सुनिश्चित गर्दछ।
  • X-फ्रेम-विकल्पहरू: अनुप्रयोगलाई iframe मा रेन्डर हुनबाट रोक्छ, जुन [S1] क्लिकज्याकिंग विरुद्ध प्राथमिक सुरक्षा हो।
  • X-सामग्री-प्रकार-विकल्पहरू: ब्राउजरलाई निर्दिष्ट गरिएको भन्दा फरक MIME प्रकारको रूपमा फाइलहरू व्याख्या गर्नबाट रोक्छ, MIME-स्निफिङ आक्रमणहरू रोक्दै [S2]।

कसरी FixVibe यसको लागि परीक्षण गर्दछ

FixVibe ले वेब अनुप्रयोगको HTTP प्रतिक्रिया हेडरहरू विश्लेषण गरेर यो पत्ता लगाउन सक्छ। MDN अब्जर्भेटरी मापदण्डहरू [S2], FixVibe ले CSP, ZXCVFIXVIBETOKEN4ZXFCV, र XXCVFIXVIBETOKEN4-ZXFCV, जस्ता हेडरहरू हराइरहेको वा गलत कन्फिगर गरिएका हेडरहरूलाई फ्ल्याग गर्न सक्छ।

फिक्स

मानक सुरक्षा मुद्रा [S1] को भागको रूपमा सबै प्रतिक्रियाहरूमा निम्न हेडरहरू समावेश गर्न वेब सर्भर (जस्तै, Nginx, Apache) वा अनुप्रयोग मिडलवेयर अपडेट गर्नुहोस्:

  • सामग्री-सुरक्षा-नीति: विश्वसनीय डोमेनहरूमा स्रोत स्रोतहरू प्रतिबन्धित गर्नुहोस्।
  • कडा-ट्रान्सपोर्ट-सुरक्षा: लामो max-age सँग HTTPS लागू गर्नुहोस्।
  • X-सामग्री-प्रकार-विकल्पहरू: nosniff [S2] मा सेट गर्नुहोस्।
  • X-फ्रेम-विकल्प: DENY वा SAMEORIGIN क्लिकज्याक हुनबाट जोगाउन [S1] मा सेट गर्नुहोस्।