FixVibe
Covered by FixVibemedium

Nieodpowiednia konfiguracja nagłówka zabezpieczeń

Aplikacje internetowe często nie implementują podstawowych nagłówków zabezpieczeń, narażając użytkowników na ataki typu cross-site scripting (XSS), przechwytywanie kliknięć i wstrzykiwanie danych. Postępując zgodnie z ustalonymi wytycznymi dotyczącymi bezpieczeństwa sieci i korzystając z narzędzi audytowych, takich jak Obserwatorium MDN, programiści mogą znacznie wzmocnić swoje aplikacje przed typowymi atakami opartymi na przeglądarkach.

CWE-693

Wpływ

Brak nagłówków zabezpieczeń umożliwia atakującym przechwytywanie kliknięć, kradzież plików cookie sesji lub wykonywanie skryptów między witrynami (XSS). [S1]. Bez tych instrukcji przeglądarki nie będą w stanie egzekwować granic bezpieczeństwa, co może prowadzić do potencjalnej eksfiltracji danych i nieautoryzowanych działań użytkownika. [S2].

Główna przyczyna

Problem wynika z niepowodzenia konfiguracji serwerów WWW lub struktur aplikacji w celu uwzględnienia standardowych nagłówków zabezpieczeń HTTP. Chociaż programiści często traktują priorytetowo funkcjonalny HTML i CSS [S1], konfiguracje zabezpieczeń są często pomijane. Narzędzia audytowe, takie jak Obserwatorium MDN, mają na celu wykrywanie brakujących warstw ochronnych i zapewnianie, że interakcja między przeglądarką a serwerem jest bezpieczna. [S2].

Szczegóły techniczne

Nagłówki zabezpieczeń zapewniają przeglądarce określone wytyczne dotyczące bezpieczeństwa w celu ograniczenia typowych luk w zabezpieczeniach:

  • Polityka bezpieczeństwa treści (CSP): Kontroluje, które zasoby mogą być ładowane, zapobiegając nieautoryzowanemu wykonywaniu skryptów i wstrzykiwaniu danych. [S1].
  • Strict-Transport-Security (HSTS): Zapewnia, że przeglądarka komunikuje się wyłącznie za pośrednictwem bezpiecznych połączeń HTTPS. [S2].
  • Opcje X-Frame: Zapobiega renderowaniu aplikacji w ramce iframe, co stanowi podstawową ochronę przed przejmowaniem kliknięć [S1].
  • X-Content-Type-Options: Uniemożliwia przeglądarce interpretowanie plików jako innego typu MIME niż określony, powstrzymując ataki polegające na wąchaniu MIME [S2].

Jak FixVibe to testuje

FixVibe może to wykryć, analizując nagłówki odpowiedzi HTTP aplikacji internetowej. Porównując wyniki ze standardami Obserwatorium MDN [S2], FixVibe może oznaczyć brakujące lub źle skonfigurowane nagłówki, takie jak CSP, HSTS i X-Frame-Options.

Napraw

Zaktualizuj serwer WWW (np. Nginx, Apache) lub oprogramowanie pośredniczące aplikacji, aby uwzględnić następujące nagłówki we wszystkich odpowiedziach w ramach standardowego stanu zabezpieczeń [S1]:

  • Polityka bezpieczeństwa treści: Ogranicz źródła zasobów do zaufanych domen.
  • Ścisłe bezpieczeństwo transportu: Wymuś HTTPS za pomocą długiego max-age.
  • Opcje typu zawartości X: Ustaw na nosniff [S2].
  • Opcje X-Frame: Ustaw na DENY lub SAMEORIGIN, aby zapobiec przechwytywaniu kliknięć [S1].