FixVibe
Covered by FixVibemedium

ਨਾਕਾਫ਼ੀ ਸੁਰੱਖਿਆ ਸਿਰਲੇਖ ਸੰਰਚਨਾ

ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਕਸਰ ਜ਼ਰੂਰੀ ਸੁਰੱਖਿਆ ਸਿਰਲੇਖਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS), ਕਲਿੱਕਜੈਕਿੰਗ, ਅਤੇ ਡਾਟਾ ਇੰਜੈਕਸ਼ਨ ਦੇ ਸੰਪਰਕ ਵਿੱਚ ਆਉਂਦੇ ਹਨ। ਸਥਾਪਤ ਵੈੱਬ ਸੁਰੱਖਿਆ ਦਿਸ਼ਾ-ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਪਾਲਣਾ ਕਰਕੇ ਅਤੇ MDN ਆਬਜ਼ਰਵੇਟਰੀ ਵਰਗੇ ਆਡਿਟਿੰਗ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਡਿਵੈਲਪਰ ਆਮ ਬ੍ਰਾਊਜ਼ਰ-ਅਧਾਰਿਤ ਹਮਲਿਆਂ ਦੇ ਵਿਰੁੱਧ ਆਪਣੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਸਖ਼ਤ ਕਰ ਸਕਦੇ ਹਨ।

CWE-693

ਪ੍ਰਭਾਵ

ਸੁਰੱਖਿਆ ਸਿਰਲੇਖਾਂ ਦੀ ਅਣਹੋਂਦ ਹਮਲਾਵਰਾਂ ਨੂੰ ਕਲਿੱਕਜੈਕਿੰਗ ਕਰਨ, ਸੈਸ਼ਨ ਕੂਕੀਜ਼ ਚੋਰੀ ਕਰਨ, ਜਾਂ ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS) [S1] ਨੂੰ ਚਲਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ। ਇਹਨਾਂ ਨਿਰਦੇਸ਼ਾਂ ਤੋਂ ਬਿਨਾਂ, ਬ੍ਰਾਊਜ਼ਰ ਸੁਰੱਖਿਆ ਸੀਮਾਵਾਂ ਨੂੰ ਲਾਗੂ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਸੰਭਾਵੀ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਅਤੇ ਅਣਅਧਿਕਾਰਤ ਉਪਭੋਗਤਾ ਕਾਰਵਾਈਆਂ [S2] ਹੋ ਸਕਦੀਆਂ ਹਨ।

ਮੂਲ ਕਾਰਨ

ਇਹ ਮੁੱਦਾ ਮਿਆਰੀ HTTP ਸੁਰੱਖਿਆ ਸਿਰਲੇਖਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਵੈੱਬ ਸਰਵਰਾਂ ਜਾਂ ਐਪਲੀਕੇਸ਼ਨ ਫਰੇਮਵਰਕ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਵਿੱਚ ਅਸਫਲਤਾ ਤੋਂ ਪੈਦਾ ਹੁੰਦਾ ਹੈ। ਜਦੋਂ ਕਿ ਵਿਕਾਸ ਅਕਸਰ ਕਾਰਜਸ਼ੀਲ HTML ਅਤੇ CSS [S1] ਨੂੰ ਤਰਜੀਹ ਦਿੰਦਾ ਹੈ, ਸੁਰੱਖਿਆ ਸੰਰਚਨਾਵਾਂ ਨੂੰ ਅਕਸਰ ਛੱਡ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। MDN ਆਬਜ਼ਰਵੇਟਰੀ ਵਰਗੇ ਆਡਿਟਿੰਗ ਟੂਲ ਇਹਨਾਂ ਗੁੰਮ ਹੋਏ ਰੱਖਿਆਤਮਕ ਪਰਤਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਅਤੇ ਸਰਵਰ ਵਿਚਕਾਰ ਆਪਸੀ ਤਾਲਮੇਲ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ [S2].

ਤਕਨੀਕੀ ਵੇਰਵੇ

ਸੁਰੱਖਿਆ ਸਿਰਲੇਖ ਆਮ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਬ੍ਰਾਊਜ਼ਰ ਨੂੰ ਖਾਸ ਸੁਰੱਖਿਆ ਨਿਰਦੇਸ਼ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ:

  • ਸਮੱਗਰੀ ਸੁਰੱਖਿਆ ਨੀਤੀ (CSP): ਨਿਯੰਤਰਣ ਕਰਦੀ ਹੈ ਕਿ ਕਿਹੜੇ ਸਰੋਤ ਲੋਡ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ, ਅਣਅਧਿਕਾਰਤ ਸਕ੍ਰਿਪਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਅਤੇ ਡਾਟਾ ਇੰਜੈਕਸ਼ਨ [S1] ਨੂੰ ਰੋਕਦਾ ਹੈ।
  • ਸਖਤ-ਆਵਾਜਾਈ-ਸੁਰੱਖਿਆ (HSTS): ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਬ੍ਰਾਊਜ਼ਰ ਸਿਰਫ਼ ਸੁਰੱਖਿਅਤ HTTPS ਕਨੈਕਸ਼ਨਾਂ [S2] 'ਤੇ ਸੰਚਾਰ ਕਰਦਾ ਹੈ।
  • ਐਕਸ-ਫ੍ਰੇਮ-ਵਿਕਲਪ: ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਇੱਕ iframe ਵਿੱਚ ਰੈਂਡਰ ਕੀਤੇ ਜਾਣ ਤੋਂ ਰੋਕਦਾ ਹੈ, ਜੋ ਕਿ [S1] ਕਲਿਕਜੈਕਿੰਗ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਪ੍ਰਾਇਮਰੀ ਬਚਾਅ ਹੈ।
  • X-ਸਮੱਗਰੀ-ਕਿਸਮ-ਵਿਕਲਪਾਂ: ਬ੍ਰਾਊਜ਼ਰ ਨੂੰ ਨਿਰਧਾਰਿਤ ਕੀਤੇ ਨਾਲੋਂ ਵੱਖਰੀ MIME ਕਿਸਮ ਵਜੋਂ ਫਾਈਲਾਂ ਦੀ ਵਿਆਖਿਆ ਕਰਨ ਤੋਂ ਰੋਕਦਾ ਹੈ, MIME-ਸੁੰਘਣ ਵਾਲੇ ਹਮਲਿਆਂ ਨੂੰ ਰੋਕਦਾ ਹੈ [S2]।

FixVibe ਇਸਦੇ ਲਈ ਕਿਵੇਂ ਟੈਸਟ ਕਰਦਾ ਹੈ

FixVibe ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਦੇ HTTP ਜਵਾਬ ਸਿਰਲੇਖਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਕੇ ਇਸਦਾ ਪਤਾ ਲਗਾ ਸਕਦਾ ਹੈ। MDN ਆਬਜ਼ਰਵੇਟਰੀ ਮਾਪਦੰਡਾਂ ਦੇ ਵਿਰੁੱਧ ਨਤੀਜਿਆਂ ਨੂੰ ਬੈਂਚਮਾਰਕ ਕਰਕੇ, [S2], FixVibe ਗੁੰਮ ਜਾਂ ਗਲਤ ਸੰਰਚਨਾ ਕੀਤੇ ਸਿਰਲੇਖਾਂ ਨੂੰ ਫਲੈਗ ਕਰ ਸਕਦਾ ਹੈ ਜਿਵੇਂ ਕਿ CSP, ZXCVFIXVIBETOKEN4-ZXFCV, ਅਤੇ XXFCV.

ਠੀਕ ਕਰੋ

ਇੱਕ ਮਿਆਰੀ ਸੁਰੱਖਿਆ ਸਥਿਤੀ [S1] ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਸਾਰੇ ਜਵਾਬਾਂ ਵਿੱਚ ਹੇਠਾਂ ਦਿੱਤੇ ਸਿਰਲੇਖਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਵੈੱਬ ਸਰਵਰ (ਉਦਾਹਰਨ ਲਈ, Nginx, Apache) ਜਾਂ ਐਪਲੀਕੇਸ਼ਨ ਮਿਡਲਵੇਅਰ ਨੂੰ ਅੱਪਡੇਟ ਕਰੋ:

  • ਸਮੱਗਰੀ-ਸੁਰੱਖਿਆ-ਨੀਤੀ: ਸਰੋਤ ਸਰੋਤਾਂ ਨੂੰ ਭਰੋਸੇਯੋਗ ਡੋਮੇਨਾਂ ਤੱਕ ਸੀਮਤ ਕਰੋ।
  • ਸਖਤ-ਆਵਾਜਾਈ-ਸੁਰੱਖਿਆ: ਲੰਬੇ max-age ਨਾਲ HTTPS ਨੂੰ ਲਾਗੂ ਕਰੋ।
  • X-ਸਮੱਗਰੀ-ਕਿਸਮ-ਵਿਕਲਪਾਂ: nosniff [S2] 'ਤੇ ਸੈੱਟ ਕਰੋ।
  • X-ਫ੍ਰੇਮ-ਵਿਕਲਪਾਂ: DENY ਜਾਂ SAMEORIGIN ਨੂੰ ਕਲਿੱਕ ਜੈਕਿੰਗ ਨੂੰ ਰੋਕਣ ਲਈ [S1] 'ਤੇ ਸੈੱਟ ਕਰੋ।