FixVibe
Covered by FixVibemedium

Неправильная конфигурация заголовка безопасности

Веб-приложениям часто не удается реализовать важные заголовки безопасности, в результате чего пользователи подвергаются воздействию межсайтовых сценариев (XSS), кликджекингу и внедрению данных. Следуя установленным рекомендациям по веб-безопасности и используя инструменты аудита, такие как MDN Observatory, разработчики могут значительно защитить свои приложения от распространенных атак через браузер.

CWE-693

Влияние

Отсутствие заголовков безопасности позволяет злоумышленникам выполнять кликджекинг, красть файлы cookie сеанса или выполнять межсайтовый скриптинг (XSS) [S1]. Без этих инструкций браузеры не смогут обеспечить соблюдение границ безопасности, что приведет к потенциальной утечке данных и несанкционированным действиям пользователя. [S2].

Основная причина

Проблема связана с невозможностью настроить веб-серверы или платформы приложений для включения стандартных заголовков безопасности HTTP. Хотя при разработке часто приоритет отдается функциональному HTML и CSS [S1], конфигурации безопасности часто опускаются. Инструменты аудита, такие как MDN Observatory, предназначены для обнаружения этих недостающих защитных уровней и обеспечения безопасности взаимодействия между браузером и сервером. [S2].

Технические подробности

Заголовки безопасности предоставляют браузеру специальные директивы безопасности для устранения распространенных уязвимостей:

  • Политика безопасности контента (CSP): контролирует, какие ресурсы могут быть загружены, предотвращая несанкционированное выполнение сценариев и внедрение данных [S1].
  • Strict-Transport-Security (HSTS): гарантирует, что браузер взаимодействует только через безопасные HTTPS-соединения. [S2].
  • X-Frame-Options: Предотвращает отображение приложения в iframe, что является основной защитой от кликджекинга [S1].
  • X-Content-Type-Options: Не позволяет браузеру интерпретировать файлы как MIME-типы, отличные от указанных, что предотвращает атаки с перехватом MIME. [S2].

Как FixVibe проверяет это

FixVibe мог обнаружить это, анализируя заголовки ответов HTTP веб-приложения. Сравнивая результаты со стандартами MDN Observatory [S2], FixVibe может отмечать отсутствующие или неправильно настроенные заголовки, такие как CSP, HSTS и X-Frame-Options.

Исправить

Обновите веб-сервер (например, Nginx, Apache) или промежуточное программное обеспечение приложения, чтобы включить следующие заголовки во все ответы как часть стандартной меры безопасности [S1]:

  • Политика безопасности контента: Ограничьте источники ресурсов доверенными доменами.
  • Строгая транспортная безопасность: включите HTTPS с помощью длинного max-age.
  • X-Content-Type-Options: установите значение nosniff [S2].
  • X-Frame-Options: установите значение DENY или SAMEORIGIN, чтобы предотвратить кликджекинг [S1].