FixVibe
Covered by FixVibemedium

HTTP سيڪيورٽي هيڊر: لاڳو ڪرڻ CSP ۽ HSTS برائوزر-سائيڊ دفاع لاءِ

هي تحقيق HTTP سيڪيورٽي هيڊرز جي اهم ڪردار کي ڳولي ٿو، خاص طور تي مواد سيڪيورٽي پاليسي (CSP) ۽ HTTP سخت ٽرانسپورٽ سيڪيورٽي (HSTS)، ويب ايپليڪيشنن کي عام نقصانن کان بچائڻ ۾ جيئن ڪراس-سائيٽ اسڪرپٽنگ (ZXVCVCVXDOWN) حملا.

CWE-1021CWE-79CWE-319

سيڪيورٽي هيڊرز جو ڪردار

HTTP سيڪيورٽي هيڊر ويب ايپليڪيشنن لاءِ هڪ معياري ميکانيزم مهيا ڪن ٿا ته جيئن برائوزرن کي سيشن دوران مخصوص سيڪيورٽي پاليسيون لاڳو ڪرڻ جي هدايت ڪن [S1] [S2]. اهي هيڊر دفاع جي هڪ نازڪ پرت جي طور تي ڪم ڪن ٿا-کوٽائي، خطرن کي گھٽائڻ جيڪي شايد مڪمل طور تي صرف ايپليڪيشن منطق ذريعي حل نه ڪيا وڃن.

مواد سيڪيورٽي پاليسي (CSP)

مواد سيڪيورٽي پاليسي (CSP) هڪ حفاظتي پرت آهي جيڪا خاص قسم جي حملن کي ڳولڻ ۽ گهٽائڻ ۾ مدد ڪري ٿي، بشمول ڪراس-سائيٽ اسڪرپٽنگ (XSS) ۽ ڊيٽا انجيڪشن حملن [S1]. هڪ پاليسي جي وضاحت ڪندي جيڪا وضاحت ڪري ٿي ته ڪهڙن متحرڪ وسيلن کي لوڊ ڪرڻ جي اجازت آهي، CSP برائوزر کي روڪي ٿو بدسلوڪي اسڪرپٽس تي عمل ڪرڻ کان جيڪو حملي ڪندڙ [S1] پاران داخل ڪيو ويو آهي. اهو مؤثر طريقي سان غير مجاز ڪوڊ جي عمل کي محدود ڪري ٿو جيتوڻيڪ ايپليڪيشن ۾ هڪ انجڻ جو خطرو موجود آهي.

HTTP سخت ٽرانسپورٽ سيڪيورٽي (HSTS)

HTTP سخت ٽرانسپورٽ سيڪيورٽي (HSTS) ھڪڙو ميکانيزم آھي جيڪو ھڪڙي ويب سائيٽ کي اجازت ڏئي ٿو براؤزرز کي خبر ڏيو ته ان کي صرف HTTPS استعمال ڪرڻ گھرجي، بجاء HTTP [S2]. هي پروٽوڪول جي خاتمي جي حملن ۽ ڪوڪيز جي هائيجيڪنگ جي خلاف حفاظت ڪري ٿو انهي کي يقيني بڻائي ته ڪلائنٽ ۽ سرور جي وچ ۾ سمورو ڪميونيڪيشن [S2] انڪوڊ ٿيل آهي. هڪ دفعو هڪ برائوزر هن هيڊر کي حاصل ڪري ٿو، اهو خودڪار طريقي سان HTTP ذريعي سائيٽ تائين پهچڻ جي سڀني ڪوششن کي HTTPS درخواستن ۾ تبديل ڪندو.

گم ٿيل هيڊرن جا سيڪيورٽي اثر

ايپليڪيشنون جيڪي انهن هيڊرز کي لاڳو ڪرڻ ۾ ناڪام ٿين ٿيون اهي ڪلائنٽ-سائيڊ سمجھوتي جي وڏي خطري تي آهن. مواد جي حفاظت واري پاليسي جي غير موجودگي غير مجاز اسڪرپٽس جي عمل جي اجازت ڏئي ٿي، جيڪا سيشن کي اغوا ڪرڻ، غير مجاز ڊيٽا جي خارج ڪرڻ، يا [S1] کي خراب ڪرڻ جي ڪري سگھي ٿي. اهڙي طرح، هڪ HSTS هيڊر جي کوٽ صارفين کي مين-ان-دي-مڊل (MITM) حملن لاءِ حساس بڻائي ٿي، خاص طور تي ابتدائي ڪنيڪشن جي مرحلي دوران، جتي حملو ڪندڙ ٽريفڪ کي روڪي سگهي ٿو ۽ صارف کي سائيٽ ZXCVFIXVIBETOKEN1 جي بدسلوڪي يا غير انڪرپٽ ٿيل ورزن ڏانهن ريڊائريڪٽ ڪري سگهي ٿو.

ڪيئن FixVibe ان لاءِ ٽيسٽ ڪري ٿو

FixVibe اڳ ۾ ئي شامل آهي هي هڪ غير فعال اسڪين چيڪ طور. headers.security-headers Content-Security-Policy، Strict-Transport-Security، X-Frame-Options يا X-Frame-Options يا ZXCVFIXVIBETOKEN, ZXCVFIXVIBETOKEN, ZXCVFIXVIBETOKEN, ZXCVFIXVIBETOKEN, ZXCVFIXVX5, ZXCVFIXVIBETOKEN, ZXCVFIXVIBETOKEN, ZXCVFIXVIBETOKEN, ZXCVFIXVX5 Referrer-Policy، ۽ Permissions-Policy. اهو رپورٽ ڪري ٿو غائب يا ڪمزور قدرن کان سواءِ استحصال جي جاچ، ۽ ان جو فڪس پرامٽ ڏئي ٿو ترتيب ڏيڻ لاءِ تيار هيڊر مثال عام ايپ ۽ سي ڊي اين سيٽ اپ لاءِ.

اصلاحي ھدايت

حفاظتي پوزيشن کي بهتر ڪرڻ لاء، ويب سرورز کي ترتيب ڏيڻ لازمي آهي ته اهي هيڊر سڀني پيداوار جي رستن تي موٽڻ لاء. هڪ مضبوط CSP کي ايپليڪيشن جي مخصوص وسيلن جي گهرج مطابق ترتيب ڏيڻ گهرجي، هدايتون استعمال ڪندي script-src ۽ object-src اسڪرپٽ جي عملدرآمد ماحول کي محدود ڪرڻ لاءِ object-src. ٽرانسپورٽ سيڪيورٽي لاءِ، Strict-Transport-Security هيڊر کي فعال ڪيو وڃي مناسب max-age هدايت سان ته جيئن صارف جي سيشنز ۾ مسلسل تحفظ کي يقيني بڻائي سگهجي [S2].