FixVibe
Covered by FixVibemedium

Titujt e sigurisë HTTP: Implementimi i CSP dhe HSTS për mbrojtjen nga ana e shfletuesit

Ky hulumtim eksploron rolin kritik të titujve të sigurisë HTTP, veçanërisht Politikën e Sigurisë së Përmbajtjes (CSP) dhe Sigurinë e rreptë të transportit HTTP (HSTS), në mbrojtjen e aplikacioneve të uebit nga dobësitë e zakonshme si Skriptimi në faqet e ndryshme (ZXCOLVEV0V0) dhe Scripting në faqet e ndryshme (ZXCOLVECV0) sulmet.

CWE-1021CWE-79CWE-319

Roli i Titujve të Sigurisë

Titujt e sigurisë HTTP ofrojnë një mekanizëm të standardizuar për aplikacionet në ueb për të udhëzuar shfletuesit të zbatojnë politika specifike sigurie gjatë një seance [S1] [S2]. Këto tituj veprojnë si një shtresë kritike e mbrojtjes në thellësi, duke zbutur rreziqet që mund të mos adresohen plotësisht vetëm nga logjika e aplikacionit.

Politika e sigurisë së përmbajtjes (CSP)

Politika e sigurisë së përmbajtjes (CSP) është një shtresë sigurie që ndihmon në zbulimin dhe zbutjen e llojeve të caktuara të sulmeve, duke përfshirë Skriptimin në Site (XSS) dhe sulmet e injektimit të të dhënave [S1]. Duke përcaktuar një politikë që specifikon se cilat burime dinamike lejohen të ngarkohen, CSP parandalon shfletuesin nga ekzekutimi i skripteve me qëllim të keq të injektuar nga një sulmues [S1]. Kjo në mënyrë efektive kufizon ekzekutimin e kodit të paautorizuar edhe nëse ekziston një cenueshmëri injeksioni në aplikacion.

Siguria strikte e transportit HTTP (HSTS)

Siguria e rreptë e transportit HTTP (HSTS) është një mekanizëm që lejon një faqe interneti të informojë shfletuesit se duhet të aksesohet vetëm duke përdorur HTTPS, në vend të HTTP [S2]. Kjo mbron nga sulmet e uljes së nivelit të protokollit dhe rrëmbimi i kukive duke siguruar që i gjithë komunikimi ndërmjet klientit dhe serverit të jetë i koduar [S2]. Sapo një shfletues të marrë këtë titull, ai automatikisht do të konvertojë të gjitha përpjekjet e mëvonshme për të hyrë në sajt nëpërmjet HTTP në kërkesa HTTPS.

Implikimet e sigurisë të titujve që mungojnë

Aplikacionet që nuk arrijnë të zbatojnë këto tituj janë në një rrezik dukshëm më të lartë të kompromisit nga ana e klientit. Mungesa e një Politike të Sigurisë së Përmbajtjes lejon ekzekutimin e skripteve të paautorizuara, të cilat mund të çojnë në rrëmbim të sesioneve, ekfiltrim të paautorizuar të të dhënave ose deformim [S1]. Në mënyrë të ngjashme, mungesa e një titulli HSTS i bën përdoruesit të ndjeshëm ndaj sulmeve njeri në mes (MITM), veçanërisht gjatë fazës fillestare të lidhjes, ku një sulmues mund të përgjojë trafikun dhe ta ridrejtojë përdoruesin në një version me qëllim të keq ose të pakriptuar të sajtit ZXCVFIXZVIBETOKEN1.

Si e teston FixVibe për të

FixVibe tashmë e përfshin këtë si një kontroll pasiv të skanimit. headers.security-headers inspekton meta të dhënat publike të përgjigjes HTTP për praninë dhe fuqinë e Content-Security-Policy, Strict-Transport-Security, X-Frame-Options ose ZXCVFIXZVIBETOKEN4, X-Content-Type-Options, Referrer-Policy dhe Permissions-Policy. Ai raporton vlera të munguara ose të dobëta pa sonda shfrytëzimi dhe kërkesa e tij e rregullimit jep shembuj të titullit të gatshëm për vendosjen për konfigurimet e zakonshme të aplikacioneve dhe CDN.

Udhëzime për riparim

Për të përmirësuar pozicionin e sigurisë, serverët e uebit duhet të konfigurohen për t'i kthyer këto tituj në të gjitha rrugët e prodhimit. Një CSP e fortë duhet të përshtatet me kërkesat specifike për burimet e aplikacionit, duke përdorur direktiva si script-src dhe object-src për të kufizuar mjediset e ekzekutimit të skriptit ZXCVFIXVIBETOKEN4ZZ. Për sigurinë e transportit, kreu Strict-Transport-Security duhet të aktivizohet me një direktivë të përshtatshme max-age për të siguruar mbrojtje të vazhdueshme gjatë sesioneve të përdoruesit [S2].