FixVibe
Covered by FixVibemedium

Neustrezna varnostna konfiguracija glave

Spletne aplikacije pogosto ne izvajajo bistvenih varnostnih glav, zaradi česar so uporabniki izpostavljeni skriptnemu izvajanju med spletnimi mesti (XSS), vgrajevanju klikov in vbrizgavanju podatkov. Z upoštevanjem uveljavljenih smernic za spletno varnost in uporabo revizijskih orodij, kot je MDN Observatory, lahko razvijalci znatno utrdijo svoje aplikacije pred pogostimi napadi, ki temeljijo na brskalniku.

CWE-693

Vpliv

Odsotnost varnostnih glav napadalcem omogoča vgrajevanje klikov, krajo sejnih piškotkov ali izvajanje skriptov med spletnimi mesti (XSS) [S1]. Brez teh navodil brskalniki ne morejo uveljavljati varnostnih meja, kar vodi do morebitnega utaje podatkov in nepooblaščenih uporabniških dejanj [S2].

Temeljni vzrok

Težava izhaja iz neuspešne konfiguracije spletnih strežnikov ali ogrodij aplikacij za vključitev standardnih varnostnih glav HTTP. Medtem ko razvoj pogosto daje prednost funkcionalnemu HTML in CSS [S1], so varnostne konfiguracije pogosto izpuščene. Orodja za nadzor, kot je Observatorij MDN, so zasnovana tako, da zaznajo te manjkajoče obrambne plasti in zagotovijo, da je interakcija med brskalnikom in strežnikom varna [S2].

Tehnične podrobnosti

Varnostne glave brskalniku zagotavljajo posebne varnostne direktive za ublažitev pogostih ranljivosti:

  • Varnostna politika vsebine (CSP): Nadzoruje, katera sredstva je mogoče naložiti, preprečuje nepooblaščeno izvajanje skripta in vbrizgavanje podatkov [S1].
  • Strict-Transport-Security (HSTS): Zagotavlja, da brskalnik komunicira samo prek varnih povezav HTTPS [S2].
  • X-Frame-Options: Preprečuje, da bi bila aplikacija upodobljena v okvirju iframe, kar je primarna obramba pred vgrajevanjem klika [S1].
  • X-Content-Type-Options: Prepreči, da bi brskalnik interpretiral datoteke kot drugačno vrsto MIME od tiste, ki je določena, in ustavi napade vohanja MIME [S2].

Kako ga FixVibe testira

FixVibe bi to lahko zaznal z analizo glav odgovorov HTTP spletne aplikacije. S primerjavo rezultatov s standardi Observatorija MDN [S2] lahko FixVibe označi manjkajoče ali napačno konfigurirane glave, kot so CSP, HSTS in X-Frame-Options.

Popravi

Posodobite spletni strežnik (npr. Nginx, Apache) ali vmesno programsko opremo aplikacije, da vključite naslednje glave v vse odgovore kot del standardne varnostne drže [S1]:

  • Content-Security-Policy: Omejite vire virov na zaupanja vredne domene.
  • Strict-Transport-Security: Uveljavite HTTPS z dolgim max-age.
  • X-Content-Type-Options: Nastavite na nosniff [S2].
  • X-Frame-Options: Nastavite na DENY ali SAMEORIGIN, da preprečite vgrajevanje klika [S1].