FixVibe
Covered by FixVibemedium

HTTP ආරක්‍ෂක ශීර්ෂ: බ්‍රවුසර පාර්ශ්ව ආරක්‍ෂාව සඳහා CSP සහ HSTS ක්‍රියාත්මක කිරීම

මෙම පර්යේෂණය HTTP ආරක්‍ෂක ශීර්ෂවල, විශේෂයෙන්ම අන්තර්ගත ආරක්‍ෂක ප්‍රතිපත්තිය (CSP) සහ HTTP දැඩි ප්‍රවාහන ආරක්‍ෂාව (HSTS), හරස්-අඩවි තිර රචනය (VIZCVECVXEKEN FIX) වැනි පොදු අවදානම්වලින් වෙබ් යෙදුම් ආරක්ෂා කිරීමේ තීරණාත්මක කාර්යභාරය ගවේෂණය කරයි. ප්‍රොටෝකෝලය පහත හෙලීමේ ප්‍රහාර.

CWE-1021CWE-79CWE-319

ආරක්ෂක ශීර්ෂයන්ගේ කාර්යභාරය

HTTP ආරක්‍ෂක ශීර්ෂයන් සැසියක් තුළදී නිශ්චිත ආරක්‍ෂක ප්‍රතිපත්ති බලාත්මක කිරීමට බ්‍රව්සර්වලට උපදෙස් දීමට වෙබ් යෙදුම් සඳහා ප්‍රමිතිගත යාන්ත්‍රණයක් සපයයි [S1] [S2]. මෙම ශීර්ෂයන් ආරක්ෂිත-ගැඹුරු තීරනාත්මක ස්ථරයක් ලෙස ක්‍රියා කරයි, යෙදුම් තර්කය මගින් පමණක් සම්පූර්ණයෙන් ආමන්ත්‍රණය කළ නොහැකි අවදානම් අවම කරයි.

අන්තර්ගත ආරක්ෂණ ප්‍රතිපත්තිය (CSP)

අන්තර්ගත ආරක්ෂණ ප්‍රතිපත්තිය (CSP) යනු හරස් අඩවි ස්ක්‍රිප්ටින් (XSS) සහ දත්ත එන්නත් ප්‍රහාර [S1] ඇතුළුව ඇතැම් ප්‍රහාර හඳුනා ගැනීමට සහ අවම කිරීමට උදවු වන ආරක්ෂක ස්ථරයකි. කුමන ගතික සම්පත් පූරණය කිරීමට ඉඩ දෙන්නේද යන්න සඳහන් කරන ප්‍රතිපත්තියක් නිර්වචනය කිරීමෙන්, CSP ප්‍රහාරකයෙකු විසින් එන්නත් කරන ලද අනිෂ්ට ස්ක්‍රිප්ට් ක්‍රියාත්මක කිරීමෙන් බ්‍රවුසරය වළක්වයි. යෙදුම තුළ එන්නත් කිරීමේ අවදානමක් පැවතියද මෙය අනවසර කේතය ක්‍රියාත්මක කිරීම ඵලදායී ලෙස සීමා කරයි.

HTTP දැඩි ප්‍රවාහන ආරක්ෂාව (HSTS)

HTTP දැඩි ප්‍රවාහන ආරක්ෂාව (HSTS) යනු HTTP [S2] වෙනුවට HTTPS භාවිතයෙන් පමණක් ප්‍රවේශ විය යුතු බව බ්‍රව්සර් වෙත දැනුම් දීමට වෙබ් අඩවියකට ඉඩ සලසන යාන්ත්‍රණයකි. සේවාලාභියා සහ සේවාදායකයා අතර ඇති සියලුම සන්නිවේදනයන් [S2] සංකේතනය කර ඇති බව සහතික කිරීම මගින් ප්‍රොටෝකෝලය පහත් කිරීමේ ප්‍රහාර සහ කුකී පැහැරගැනීම් වලින් මෙය ආරක්ෂා කරයි. බ්‍රවුසරයකට මෙම ශීර්ෂකය ලැබුණු පසු, එය HTTP හරහා වෙබ් අඩවියට ප්‍රවේශ වීමට පසුව ගන්නා සියලු උත්සාහයන් ස්වයංක්‍රීයව HTTPS ඉල්ලීම් බවට පරිවර්තනය කරයි.

අස්ථානගත වූ ශීර්ෂයන්ගේ ආරක්ෂක ඇඟවුම්

මෙම ශීර්ෂ ක්‍රියාවට නැංවීමට අපොහොසත් වන යෙදුම් සේවාලාභී පාර්ශ්වයේ සම්මුතියේ සැලකිය යුතු ඉහළ අවදානමක් ඇත. අන්තර්ගත ආරක්ෂණ ප්‍රතිපත්තියක් නොමැති වීම, අනවසර ස්ක්‍රිප්ට් ක්‍රියාත්මක කිරීමට ඉඩ සලසයි, එය සැසි පැහැර ගැනීම්, අනවසර දත්ත උද්ධෘත කිරීම, හෝ [S1] විකෘති කිරීමට හේතු විය හැක. ඒ හා සමානව, HSTS ශීර්ෂයක් නොමැතිකම නිසා පරිශීලකයන් මිනිසා-මැද (MITM) ප්‍රහාරවලට ගොදුරු වේ, විශේෂයෙන් ආරම්භක සම්බන්ධතා අවධියේදී, ප්‍රහාරකයෙකුට ගමනාගමනයට බාධා කර පරිශීලකයා ZXCVFIXVIBETOK වෙබ් අඩවියේ අනිෂ්ට හෝ සංකේතනය නොකළ අනුවාදයකට හරවා යැවිය හැකිය.

FixVibe ඒ සඳහා පරීක්ෂා කරන ආකාරය

FixVibe දැනටමත් මෙය නිෂ්ක්‍රීය ස්කෑන් පරීක්‍ෂණයක් ලෙස ඇතුළත් කර ඇත. headers.security-headers Content-Security-Policy, Strict-Transport-Security, X-Frame-Options හෝ ZXCVFIXVIBETOKEN4 හි පැවැත්ම සහ ශක්තිය සඳහා පොදු HTTP ප්‍රතිචාර පාර-දත්ත පරීක්ෂා කරයි. X-Content-Type-Options, Referrer-Policy, සහ Permissions-Policy. එය සූරාකෑම් පරීක්ෂණ නොමැතිව නැතිවූ හෝ දුර්වල අගයන් වාර්තා කරයි, සහ එහි නිවැරදි කිරීමේ විමසුම පොදු යෙදුම් සහ CDN සැකසුම් සඳහා යෙදවීමට සූදානම් ශීර්ෂ උදාහරණ ලබා දෙයි.

ප්‍රතිකර්ම මාර්ගෝපදේශය

ආරක්ෂක ඉරියව්ව වැඩි දියුණු කිරීම සඳහා, සියලුම නිෂ්පාදන මාර්ගවල මෙම ශීර්ෂයන් ආපසු ලබා දීමට වෙබ් සේවාදායකයන් වින්‍යාස කළ යුතුය. ශක්තිමත් CSP ස්ක්‍රිප්ට් ක්‍රියාත්මක කිරීමේ පරිසරය සීමා කිරීමට script-src සහ object-src වැනි විධාන භාවිතා කරමින්, යෙදුමේ නිශ්චිත සම්පත් අවශ්‍යතාවලට ගැලපෙන පරිදි සකස් කළ යුතුය. ප්‍රවාහන ආරක්‍ෂාව සඳහා, [S2] පරිශීලක සැසි හරහා ස්ථීර ආරක්ෂාව සහතික කිරීම සඳහා සුදුසු max-age විධානයක් සමඟින් Strict-Transport-Security ශීර්ෂය සක්‍රීය කළ යුතුය.