FixVibe
Covered by FixVibemedium

Konfigurim joadekuat i kokës së sigurisë

Aplikacionet e uebit shpesh dështojnë të zbatojnë titujt thelbësorë të sigurisë, duke i lënë përdoruesit të ekspozuar ndaj skriptimit në faqe (XSS), klikimeve dhe injektimit të të dhënave. Duke ndjekur udhëzimet e vendosura të sigurisë në ueb dhe duke përdorur mjete auditimi si Observatori MDN, zhvilluesit mund të forcojnë ndjeshëm aplikacionet e tyre kundër sulmeve të zakonshme të bazuara në shfletues.

CWE-693

Ndikimi

Mungesa e titujve të sigurisë i lejon sulmuesit të kryejnë klikime, të vjedhin kukit e sesionit ose të ekzekutojnë skriptime në faqe (XSS) [S1]. Pa këto udhëzime, shfletuesit nuk mund të zbatojnë kufijtë e sigurisë, duke çuar në ekfiltrim të mundshëm të të dhënave dhe veprime të paautorizuara të përdoruesit [S2].

Shkaku rrënjësor

Problemi rrjedh nga një dështim për të konfiguruar serverët e uebit ose kornizat e aplikacionit për të përfshirë titujt standardë të sigurisë HTTP. Ndërsa zhvillimi shpesh i jep përparësi HTML funksionale dhe CSS [S1], konfigurimet e sigurisë shpesh anashkalohen. Mjetet e auditimit si Observatori MDN janë krijuar për të zbuluar këto shtresa mbrojtëse që mungojnë dhe për të siguruar që ndërveprimi ndërmjet shfletuesit dhe serverit të jetë i sigurt [S2].

Detaje teknike

Titujt e sigurisë i ofrojnë shfletuesit udhëzime specifike të sigurisë për të zbutur dobësitë e zakonshme:

  • Politika e sigurisë së përmbajtjes (CSP): Kontrollon se cilat burime mund të ngarkohen, duke parandaluar ekzekutimin e paautorizuar të skriptit dhe injektimin e të dhënave [S1].
  • Siguria e rreptë e transportit (HSTS): Siguron që shfletuesi të komunikojë vetëm përmes lidhjeve të sigurta HTTPS [S2].
  • X-Frame-Options: Parandalon paraqitjen e aplikacionit në një iframe, i cili është një mbrojtje primare kundër klikimeve [S1].
  • X-Content-Type-Options: Parandalon shfletuesin të interpretojë skedarët si një lloj MIME i ndryshëm nga ai që është specifikuar, duke ndaluar sulmet MIME-sniffing [S2].

Si e teston FixVibe për të

FixVibe mund ta zbulojë këtë duke analizuar titujt e përgjigjes HTTP të një aplikacioni ueb. Duke krahasuar rezultatet kundrejt standardeve të Observatorit MDN [S2], FixVibe mund të raportojë kokat e munguara ose të konfiguruara gabimisht si CSP, ZXCVFIXVIBETOKEN,- dhe XCVFIXCVBETOKEN4FX.

Rregullo

Përditësoni serverin e uebit (p.sh., Nginx, Apache) ose programin ndërmjetës të aplikacionit për të përfshirë titujt e mëposhtëm në të gjitha përgjigjet si pjesë e një pozicioni standard të sigurisë [S1]:

  • Content-Security-Policy: Kufizoni burimet e burimeve në domene të besueshme.
  • Strict-Transport-Security: Zbatoni HTTPS me një max-age të gjatë.
  • X-Content-Type-Options: Cakto në nosniff [S2].
  • Opsionet e X-Frame**: Vendoseni në DENY ose SAMEORIGIN për të parandaluar klikimin [S1].