FixVibe
Covered by FixVibemedium

अपर्याप्तं सुरक्षाशीर्षकविन्यासः

जाल-अनुप्रयोगाः प्रायः आवश्यकसुरक्षाशीर्षकाणि कार्यान्वितुं असफलाः भवन्ति, येन उपयोक्तारः क्रॉस्-साइट् स्क्रिप्टिङ्ग् (XSS), क्लिक्जैकिंग्, डाटा इन्जेक्शन् च इत्येतयोः सम्मुखीभवन्ति स्थापितानां जालसुरक्षामार्गदर्शिकानां अनुसरणं कृत्वा MDN वेधशाला इत्यादीनां लेखापरीक्षासाधनानाम् उपयोगेन विकासकाः सामान्यब्राउजर-आधारित-आक्रमणानां विरुद्धं स्व-अनुप्रयोगान् महत्त्वपूर्णतया कठोरं कर्तुं शक्नुवन्ति

CWE-693

प्रभाव

सुरक्षाशीर्षकाणां अभावः आक्रमणकारिणः क्लिक्जैकिंग् कर्तुं, सत्रकुकीजं चोरयितुं, अथवा क्रॉस्-साइट् स्क्रिप्टिङ्ग् (XSS) [S1] निष्पादयितुं अनुमतिं ददाति एतेषां निर्देशानां विना ब्राउजर् सुरक्षासीमाः प्रवर्तयितुं न शक्नुवन्ति, येन सम्भाव्यदत्तांशप्रक्षेपणं अनधिकृतप्रयोक्तृक्रियाः च [S2]

मूलकारणम्

समस्या मानक HTTP सुरक्षाशीर्षकाणि समाविष्टुं जालसर्वरं वा अनुप्रयोगरूपरेखां वा विन्यस्तुं विफलतायाः कारणात् उद्भूतम् अस्ति । यद्यपि विकासः प्रायः कार्यात्मकं HTML तथा CSS [S1] प्राथमिकताम् अयच्छति तथापि सुरक्षाविन्यासाः प्रायः परित्यक्ताः भवन्ति । MDN वेधशाला इत्यादीनि लेखापरीक्षासाधनाः एतेषां गम्यमानानाम् रक्षात्मकस्तरानाम् अन्वेषणार्थं डिजाइनं कृतम् अस्ति तथा च ब्राउजर्-सर्वरयोः मध्ये अन्तरक्रिया सुरक्षिता इति सुनिश्चितं कर्तुं [S2]

तकनीकी विवरण

सुरक्षाशीर्षकाः सामान्यदुर्बलतां न्यूनीकर्तुं ब्राउजर् विशिष्टसुरक्षानिर्देशान् प्रदास्यन्ति:

  • सामग्रीसुरक्षानीतिः (CSP): नियन्त्रयति यत् के संसाधनाः लोड् कर्तुं शक्यन्ते, अनधिकृतस्क्रिप्ट् निष्पादनं तथा च डेटा इन्जेक्शनं निवारयति [S1].
  • Strict-Transport-Security (HSTS): सुनिश्चितं करोति यत् ब्राउज़रः केवलं सुरक्षित HTTPS संयोजनेषु संवादं करोति [S2].
  • X-Frame-Options: अनुप्रयोगं iframe मध्ये रेण्डर् भवितुं निवारयति, यत् क्लिकजैकिंग् [S1] इत्यस्य विरुद्धं प्राथमिकं रक्षणं भवति।
  • X-Content-Type-Options: ब्राउजर् निर्दिष्टस्य अपेक्षया भिन्न MIME प्रकाररूपेण सञ्चिकानां व्याख्यां कर्तुं निवारयति, MIME-sniffing आक्रमणानि [S2] स्थगयति।

FixVibe तस्य परीक्षणं कथं करोति

FixVibe जाल-अनुप्रयोगस्य HTTP प्रतिक्रिया-शीर्षकाणां विश्लेषणेन एतत् ज्ञातुं शक्नोति स्म । MDN वेधशाला मानकानां विरुद्धं परिणामान् बेन्चमार्कं कृत्वा [S2], FixVibe CSP, HSTS, तथा X-Frame-Options इत्यादीन् अनुपलब्धान् अथवा दुर्विन्यस्तं शीर्षकं ध्वजं दातुं शक्नोति

निवारयतु

मानकसुरक्षामुद्रायाः भागरूपेण सर्वेषु प्रतिक्रियासु निम्नलिखितशीर्षकाणि समाविष्टुं जालसर्वरं (उदा., Nginx, Apache) अथवा अनुप्रयोगमध्यवेयरं अद्यतनं कुर्वन्तु [S1]:

  • सामग्री-सुरक्षा-नीति: संसाधनस्रोतान् विश्वसनीयक्षेत्रेषु प्रतिबन्धयन्तु।
  • सख्त-परिवहन-सुरक्षा: दीर्घ max-age इत्यनेन HTTPS प्रवर्तयन्तु।
  • X-सामग्री-प्रकार-विकल्प: nosniff [S2] इत्यत्र सेट् कुर्वन्तु।
  • X-Frame-Options: [S1] क्लिक्जैकिंग् निवारयितुं DENY अथवा SAMEORIGIN इत्यत्र सेट् कुर्वन्तु।