Vplyv
Neschopnosť implementovať konfigurácie kritické z hľadiska bezpečnosti môže spôsobiť, že webové aplikácie budú vystavené rizikám na úrovni prehliadača a na úrovni transportu. Automatické skenovacie nástroje pomáhajú identifikovať tieto medzery analýzou toho, ako sa webové štandardy aplikujú v HTML, CSS a JavaScript [S1]. Včasná identifikácia týchto rizík umožňuje vývojárom riešiť slabé stránky konfigurácie skôr, ako ich môžu využiť externí aktéri [S1].
Hlavná príčina
Hlavnou príčinou týchto zraniteľností je vynechanie hlavičiek odpovedí HTTP kritických z hľadiska zabezpečenia alebo nesprávna konfigurácia webových štandardov [S1]. Vývojári môžu uprednostniť funkčnosť aplikácie a zároveň prehliadať bezpečnostné pokyny na úrovni prehliadača potrebné pre modernú webovú bezpečnosť [S1].
Opravy betónu
- Audit konfigurácií zabezpečenia: Pravidelne používajte skenovacie nástroje na overenie implementácie hlavičiek a konfigurácií kritických pre bezpečnosť v aplikácii [S1].
- Dodržiavajte webové štandardy: Zabezpečte, aby implementácie HTML, CSS a JavaScript dodržiavali pokyny na bezpečné kódovanie zdokumentované hlavnými webovými platformami, aby ste si zachovali robustnú pozíciu zabezpečenia [S1].
Ako to testuje FixVibe
FixVibe to už pokrýva prostredníctvom pasívneho modulu skenera headers.security-headers. Počas normálneho pasívneho skenovania FixVibe načíta cieľ ako prehliadač a skontroluje koreňovú HTML odozvu na CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referer-yPolics. Zistenia zostávajú pasívne a založené na zdroji: skener hlási presnú slabú alebo chýbajúcu hlavičku odpovede bez odosielania užitočných dát.