FixVibe
Covered by FixVibemedium

Configurație inadecvată a antetului de securitate

Aplicațiile web nu reușesc adesea să implementeze anteturile de securitate esențiale, lăsând utilizatorii expuși la scripting-uri între site-uri (XSS), clickjacking și injectare de date. Urmând liniile directoare de securitate web stabilite și folosind instrumente de audit precum Observatorul MDN, dezvoltatorii își pot întări în mod semnificativ aplicațiile împotriva atacurilor comune bazate pe browser.

CWE-693

Impact

Absența antetelor de securitate permite atacatorilor să efectueze clickjacking, să fure module cookie de sesiune sau să execute scripturi între site-uri (XSS) [S1]. Fără aceste instrucțiuni, browserele nu pot impune limite de securitate, ceea ce duce la o potențială exfiltrare a datelor și la acțiuni neautorizate ale utilizatorului [S2].

Cauza fundamentală

Problema provine din eșecul de a configura serverele web sau cadrele de aplicații pentru a include anteturi standard de securitate HTTP. În timp ce dezvoltarea prioritizează adesea HTML și CSS funcțional [S1], configurațiile de securitate sunt frecvent omise. Instrumentele de audit precum Observatorul MDN sunt concepute pentru a detecta aceste straturi defensive lipsă și pentru a asigura că interacțiunea dintre browser și server este sigură [S2].

Detalii tehnice

Anteturile de securitate oferă browserului directive de securitate specifice pentru a atenua vulnerabilitățile comune:

  • Politica de securitate a conținutului (CSP): Controlează ce resurse pot fi încărcate, prevenind executarea neautorizată de script și injectarea de date [S1].
  • Strict-Transport-Security (HSTS): Se asigură că browserul comunică numai prin conexiuni HTTPS securizate [S2].
  • X-Frame-Options: Împiedică redarea aplicației într-un iframe, care este o apărare principală împotriva clickjacking-ului [S1].
  • X-Content-Type-Options: Împiedică browserul să interpreteze fișierele ca un alt tip MIME decât cel specificat, oprind atacurile MIME-sniffing [S2].

Cum testează FixVibe pentru aceasta

FixVibe ar putea detecta acest lucru prin analiza antetelor de răspuns HTTP ale unei aplicații web. Prin compararea rezultatelor cu standardele Observatorului MDN [S2], FixVibe poate semnala anteturi lipsă sau configurate greșit, cum ar fi CSP, HSTS și X-Frame-O.

Remediați

Actualizați serverul web (de exemplu, Nginx, Apache) sau middleware-ul aplicației pentru a include următoarele antete în toate răspunsurile ca parte a unei poziții de securitate standard [S1]:

  • Conținut-Securitate-Politică: Restricționați sursele de resurse la domenii de încredere.
  • Strict-Transport-Security: impuneți HTTPS cu un max-age lung.
  • X-Content-Type-Options: Setați la nosniff [S2].
  • X-Frame-Options: Setați la DENY sau SAMEORIGIN pentru a preveni clickjacking-ul [S1].