Úloha bezpečnostných hlavičiek
Hlavičky zabezpečenia HTTP poskytujú webovým aplikáciám štandardizovaný mechanizmus, ktorý inštruuje prehliadače, aby presadzovali špecifické bezpečnostné politiky počas relácie [S1] [S2]. Tieto hlavičky fungujú ako kritická vrstva hĺbkovej obrany, ktorá zmierňuje riziká, ktoré nemusí úplne riešiť samotná aplikačná logika.
Zásady zabezpečenia obsahu (CSP)
Zásady zabezpečenia obsahu (CSP) je bezpečnostná vrstva, ktorá pomáha odhaľovať a zmierňovať určité typy útokov vrátane Cross-Site Scripting (XSS) a útokov vkladania údajov [S1]. Definovaním politiky, ktorá určuje, ktoré dynamické zdroje sa môžu načítať, CSP zabraňuje prehliadaču vykonávať škodlivé skripty vložené útočníkom [S1]. To účinne obmedzuje spustenie neautorizovaného kódu, aj keď v aplikácii existuje zraniteľnosť v podobe injekcie.
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS) je mechanizmus, ktorý umožňuje webovej stránke informovať prehliadače, že by sa k nej malo pristupovať iba pomocou HTTPS, a nie HTTP [S2]. To chráni pred útokmi na zníženie verzie protokolu a ukradnutím súborov cookie tým, že zabezpečí, aby bola všetka komunikácia medzi klientom a serverom šifrovaná [S2]. Keď prehliadač dostane túto hlavičku, automaticky skonvertuje všetky nasledujúce pokusy o prístup na stránku cez HTTP na požiadavky HTTPS.
Bezpečnostné dôsledky chýbajúcich hlavičiek
Aplikáciám, ktoré nedokážu implementovať tieto hlavičky, je výrazne vyššie riziko kompromisu na strane klienta. Absencia zásad zabezpečenia obsahu umožňuje spúšťanie neautorizovaných skriptov, čo môže viesť k únosu relácie, neoprávnenému úniku údajov alebo znehodnoteniu [S1]. Podobne absencia hlavičky HSTS spôsobuje, že používatelia sú náchylní na útoky typu man-in-the-middle (MITM), najmä počas počiatočnej fázy pripojenia, kde útočník môže zachytiť prenos a presmerovať používateľa na škodlivú alebo nešifrovanú verziu lokality [S2].
Ako to testuje FixVibe
FixVibe to už zahŕňa ako pasívnu kontrolu skenovania. headers.security-headers kontroluje verejné metadáta odpovede HTTP na prítomnosť a silu Content-Security-Policy, Strict-Transport-Security, X-Frame-Options alebo ZXCVFIXVIBETOKEN5ZCVBCV Referrer-Policy a Permissions-Policy. Hlási chýbajúce alebo slabé hodnoty bez testov zneužitia a jeho výzva na opravu poskytuje príklady hlavičiek pripravených na nasadenie pre bežné nastavenia aplikácií a CDN.
Usmernenie k náprave
Na zlepšenie stavu zabezpečenia musia byť webové servery nakonfigurované tak, aby vracali tieto hlavičky na všetkých produkčných cestách. Robustný CSP by mal byť prispôsobený špecifickým požiadavkám aplikácie pomocou direktív ako script-src a object-src na obmedzenie prostredí vykonávania skriptov [S1]. Pre bezpečnosť prenosu by hlavička Strict-Transport-Security mala byť povolená s vhodnou direktívou max-age, aby sa zabezpečila trvalá ochrana počas relácií používateľa [S2].