FixVibe
Covered by FixVibemedium

HTTP ਸੁਰੱਖਿਆ ਸਿਰਲੇਖ: ਬ੍ਰਾਊਜ਼ਰ-ਸਾਈਡ ਡਿਫੈਂਸ ਲਈ CSP ਅਤੇ HSTS ਨੂੰ ਲਾਗੂ ਕਰਨਾ

ਇਹ ਖੋਜ HTTP ਸੁਰੱਖਿਆ ਸਿਰਲੇਖਾਂ, ਖਾਸ ਤੌਰ 'ਤੇ ਸਮਗਰੀ ਸੁਰੱਖਿਆ ਨੀਤੀ (CSP) ਅਤੇ HTTP ਸਖਤ ਟ੍ਰਾਂਸਪੋਰਟ ਸੁਰੱਖਿਆ (HSTS) ਦੀ ਮਹੱਤਵਪੂਰਨ ਭੂਮਿਕਾ ਦੀ ਪੜਚੋਲ ਕਰਦੀ ਹੈ, ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ ਅਤੇ ਪ੍ਰੋ. ਹਮਲੇ

CWE-1021CWE-79CWE-319

ਸੁਰੱਖਿਆ ਸਿਰਲੇਖਾਂ ਦੀ ਭੂਮਿਕਾ

HTTP ਸੁਰੱਖਿਆ ਸਿਰਲੇਖ ਇੱਕ ਸੈਸ਼ਨ [S1] [S2] ਦੌਰਾਨ ਖਾਸ ਸੁਰੱਖਿਆ ਨੀਤੀਆਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਬ੍ਰਾਊਜ਼ਰਾਂ ਨੂੰ ਨਿਰਦੇਸ਼ ਦੇਣ ਲਈ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਇੱਕ ਪ੍ਰਮਾਣਿਤ ਵਿਧੀ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਇਹ ਸਿਰਲੇਖ ਬਚਾਅ-ਵਿੱਚ-ਡੂੰਘਾਈ ਦੀ ਇੱਕ ਨਾਜ਼ੁਕ ਪਰਤ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹਨ, ਜੋਖਮਾਂ ਨੂੰ ਘੱਟ ਕਰਦੇ ਹਨ ਜੋ ਸਿਰਫ਼ ਐਪਲੀਕੇਸ਼ਨ ਤਰਕ ਦੁਆਰਾ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸੰਬੋਧਿਤ ਨਹੀਂ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ।

ਸਮੱਗਰੀ ਸੁਰੱਖਿਆ ਨੀਤੀ (CSP)

ਸਮੱਗਰੀ ਸੁਰੱਖਿਆ ਨੀਤੀ (CSP) ਇੱਕ ਸੁਰੱਖਿਆ ਪਰਤ ਹੈ ਜੋ ਕੁਝ ਖਾਸ ਕਿਸਮ ਦੇ ਹਮਲਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਘਟਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS) ਅਤੇ ਡਾਟਾ ਇੰਜੈਕਸ਼ਨ ਹਮਲੇ [S1] ਸ਼ਾਮਲ ਹਨ। ਇੱਕ ਨੀਤੀ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਕੇ ਜੋ ਇਹ ਨਿਸ਼ਚਿਤ ਕਰਦੀ ਹੈ ਕਿ ਕਿਹੜੇ ਗਤੀਸ਼ੀਲ ਸਰੋਤਾਂ ਨੂੰ ਲੋਡ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਹੈ, CSP ਬ੍ਰਾਊਜ਼ਰ ਨੂੰ ਇੱਕ ਹਮਲਾਵਰ [S1] ਦੁਆਰਾ ਇੰਜੈਕਟ ਕੀਤੀਆਂ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਰੋਕਦਾ ਹੈ। ਇਹ ਅਣਅਧਿਕਾਰਤ ਕੋਡ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ 'ਤੇ ਅਸਰਦਾਰ ਤਰੀਕੇ ਨਾਲ ਪਾਬੰਦੀ ਲਗਾਉਂਦਾ ਹੈ ਭਾਵੇਂ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਟੀਕੇ ਦੀ ਕਮਜ਼ੋਰੀ ਮੌਜੂਦ ਹੋਵੇ।

HTTP ਸਖਤ ਆਵਾਜਾਈ ਸੁਰੱਖਿਆ (HSTS)

HTTP ਸਖਤ ਟ੍ਰਾਂਸਪੋਰਟ ਸੁਰੱਖਿਆ (HSTS) ਇੱਕ ਵਿਧੀ ਹੈ ਜੋ ਇੱਕ ਵੈਬਸਾਈਟ ਨੂੰ ਬ੍ਰਾਊਜ਼ਰਾਂ ਨੂੰ ਸੂਚਿਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ ਕਿ ਇਸਨੂੰ HTTP [S2] ਦੀ ਬਜਾਏ ਸਿਰਫ਼ HTTPS ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਐਕਸੈਸ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਇਹ ਪ੍ਰੋਟੋਕੋਲ ਡਾਊਨਗ੍ਰੇਡ ਹਮਲਿਆਂ ਅਤੇ ਕੂਕੀ ਹਾਈਜੈਕਿੰਗ ਤੋਂ ਬਚਾਉਂਦਾ ਹੈ ਇਹ ਯਕੀਨੀ ਬਣਾ ਕੇ ਕਿ ਕਲਾਇੰਟ ਅਤੇ ਸਰਵਰ ਵਿਚਕਾਰ ਸਾਰਾ ਸੰਚਾਰ [S2] ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਇੱਕ ਵਾਰ ਇੱਕ ਬ੍ਰਾਊਜ਼ਰ ਇਸ ਸਿਰਲੇਖ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ, ਇਹ ਆਪਣੇ ਆਪ ਹੀ HTTP ਦੁਆਰਾ ਸਾਈਟ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੀਆਂ ਸਾਰੀਆਂ ਅਗਲੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ HTTPS ਬੇਨਤੀਆਂ ਵਿੱਚ ਬਦਲ ਦੇਵੇਗਾ।

ਗੁੰਮ ਹੋਏ ਸਿਰਲੇਖਾਂ ਦੇ ਸੁਰੱਖਿਆ ਪ੍ਰਭਾਵ

ਐਪਲੀਕੇਸ਼ਨ ਜੋ ਇਹਨਾਂ ਸਿਰਲੇਖਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੀਆਂ ਹਨ, ਉਹਨਾਂ ਨੂੰ ਕਲਾਇੰਟ-ਸਾਈਡ ਸਮਝੌਤਾ ਹੋਣ ਦਾ ਬਹੁਤ ਜ਼ਿਆਦਾ ਜੋਖਮ ਹੁੰਦਾ ਹੈ। ਸਮਗਰੀ ਸੁਰੱਖਿਆ ਨੀਤੀ ਦੀ ਅਣਹੋਂਦ ਅਣਅਧਿਕਾਰਤ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਸੈਸ਼ਨ ਹਾਈਜੈਕਿੰਗ, ਅਣਅਧਿਕਾਰਤ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਜਾਂ [S1] ਨੂੰ ਖਰਾਬ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇਸੇ ਤਰ੍ਹਾਂ, ਇੱਕ HSTS ਸਿਰਲੇਖ ਦੀ ਘਾਟ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਮੈਨ-ਇਨ-ਦ-ਮਿਡਲ (MITM) ਹਮਲਿਆਂ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਛੱਡਦੀ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਸ਼ੁਰੂਆਤੀ ਕੁਨੈਕਸ਼ਨ ਪੜਾਅ ਦੌਰਾਨ, ਜਿੱਥੇ ਇੱਕ ਹਮਲਾਵਰ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੋਕ ਸਕਦਾ ਹੈ ਅਤੇ ਉਪਭੋਗਤਾ ਨੂੰ ਸਾਈਟ ZXCVFIXVIBETOKEN1 ਦੇ ਇੱਕ ਖਤਰਨਾਕ ਜਾਂ ਅਣਇਨਕ੍ਰਿਪਟਡ ਸੰਸਕਰਣ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰ ਸਕਦਾ ਹੈ।

FixVibe ਇਸਦੇ ਲਈ ਕਿਵੇਂ ਟੈਸਟ ਕਰਦਾ ਹੈ

FixVibe ਵਿੱਚ ਇਸਨੂੰ ਪਹਿਲਾਂ ਹੀ ਇੱਕ ਪੈਸਿਵ ਸਕੈਨ ਜਾਂਚ ਦੇ ਰੂਪ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ। headers.security-headers Content-Security-Policy, Strict-Transport-Security, X-Frame-Options ਜਾਂ X-Frame-Options ਜਾਂ ZXCVFIXVIBETOKEN, ZXCVFIXVIBETOKEN, ZXVXVX5, ZXVXVX5, ਦੀ ਮੌਜੂਦਗੀ ਅਤੇ ਤਾਕਤ ਲਈ ਜਨਤਕ HTTP ਜਵਾਬ ਮੈਟਾਡੇਟਾ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ Referrer-Policy, ਅਤੇ Permissions-Policy। ਇਹ ਸ਼ੋਸ਼ਣ ਪੜਤਾਲਾਂ ਦੇ ਬਿਨਾਂ ਗੁੰਮ ਜਾਂ ਕਮਜ਼ੋਰ ਮੁੱਲਾਂ ਦੀ ਰਿਪੋਰਟ ਕਰਦਾ ਹੈ, ਅਤੇ ਇਸਦਾ ਫਿਕਸ ਪ੍ਰੋਂਪਟ ਆਮ ਐਪ ਅਤੇ CDN ਸੈੱਟਅੱਪਾਂ ਲਈ ਤੈਨਾਤ-ਤਿਆਰ ਹੈਡਰ ਉਦਾਹਰਨਾਂ ਦਿੰਦਾ ਹੈ।

ਉਪਚਾਰ ਮਾਰਗਦਰਸ਼ਨ

ਸੁਰੱਖਿਆ ਸਥਿਤੀ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣ ਲਈ, ਵੈੱਬ ਸਰਵਰਾਂ ਨੂੰ ਇਹਨਾਂ ਸਿਰਲੇਖਾਂ ਨੂੰ ਸਾਰੇ ਉਤਪਾਦਨ ਰੂਟਾਂ 'ਤੇ ਵਾਪਸ ਕਰਨ ਲਈ ਸੰਰਚਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਸਕ੍ਰਿਪਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵਾਤਾਵਰਨ CSP ਨੂੰ script-src ਅਤੇ object-src ਵਰਗੇ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਐਪਲੀਕੇਸ਼ਨ ਦੀਆਂ ਖਾਸ ਸਰੋਤ ਲੋੜਾਂ ਦੇ ਮੁਤਾਬਕ ਬਣਾਇਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਟਰਾਂਸਪੋਰਟ ਸੁਰੱਖਿਆ ਲਈ, Strict-Transport-Security ਸਿਰਲੇਖ ਨੂੰ max-age ਨਿਰਦੇਸ਼ਕ ਨਾਲ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਤਾਂ ਜੋ ਉਪਭੋਗਤਾ ਸੈਸ਼ਨਾਂ ਵਿੱਚ ਨਿਰੰਤਰ ਸੁਰੱਖਿਆ ਨੂੰ ਯਕੀਨੀ ਬਣਾਇਆ ਜਾ ਸਕੇ [S2]।