FixVibe
Covered by FixVibemedium

Usanidi usiofaa wa Kichwa cha Usalama

Programu za wavuti mara nyingi hushindwa kutekeleza vichwa muhimu vya usalama, hivyo kuwaacha watumiaji wazi kwa uandishi wa tovuti tofauti (XSS), udukuzi wa kubofya, na sindano ya data. Kwa kufuata miongozo imara ya usalama wa wavuti na kutumia zana za ukaguzi kama vile MDN Observatory, wasanidi programu wanaweza kuimarisha programu zao kwa kiasi kikubwa dhidi ya mashambulizi ya kawaida ya kivinjari.

CWE-693

Athari

Kutokuwepo kwa vichwa vya usalama huruhusu washambuliaji kubofya, kuiba vidakuzi vya kipindi, au kutekeleza uandishi wa tovuti tofauti (XSS) [S1]. Bila maagizo haya, vivinjari haviwezi kutekeleza mipaka ya usalama, na hivyo kusababisha uwezekano wa kuchujwa kwa data na vitendo vya mtumiaji visivyoidhinishwa [S2].

Chanzo Chanzo

Tatizo hili linatokana na kushindwa kusanidi seva za wavuti au mifumo ya programu ili kujumuisha vichwa vya kawaida vya usalama vya HTTP. Ingawa usanidi mara nyingi hutanguliza kazi HTML na CSS [S1], usanidi wa usalama huachwa mara kwa mara. Zana za ukaguzi kama vile MDN Observatory zimeundwa ili kugundua safu hizi za ulinzi ambazo hazipo na kuhakikisha mwingiliano kati ya kivinjari na seva ni salama [S2].

Maelezo ya Kiufundi

Vijajuu vya usalama hupea kivinjari maagizo mahususi ya usalama ili kupunguza athari za kawaida:

  • Sera ya Usalama ya Maudhui (CSP): Hudhibiti ni rasilimali zipi zinaweza kupakiwa, kuzuia utekelezaji wa hati usioidhinishwa na kuingiza data [S1].
  • Usalama-Mkali-wa-Usafiri (HSTS): Inahakikisha kuwa kivinjari kinawasiliana kupitia miunganisho salama ya HTTPS pekee [S2].
  • Chaguo-Fremu-X: Huzuia programu kutekelezwa katika iframe, ambayo ni ulinzi wa kimsingi dhidi ya unyakuzi wa kubofya [S1].
  • Chaguo-Aina-Ya-Maudhui-X: Huzuia kivinjari kutafsiri faili kama aina tofauti ya MIME kuliko ilivyobainishwa, na hivyo kusimamisha mashambulizi ya kunusa MIME [S2].

Jinsi FixVibe inavyoifanyia majaribio

FixVibe inaweza kugundua hili kwa kuchanganua vichwa vya majibu ya HTTP vya programu ya wavuti. Kwa kuweka alama kwenye matokeo dhidi ya viwango vya MDN Observatory [S2], FixVibe inaweza kuripoti vichwa visivyopo au vilivyowekwa vibaya kama vile CSP, HSTS, na X-Options-Frame.

Rekebisha

Sasisha seva ya wavuti (k.m., Nginx, Apache) au programu ya kati ili kujumuisha vichwa vifuatavyo katika majibu yote kama sehemu ya mkao wa kawaida wa usalama [S1]:

  • Sera-ya-Usalama-Maudhui: Zuia vyanzo vya rasilimali kwa vikoa vinavyoaminika.
  • Usalama-Mkali-wa-Usafiri: Tekeleza HTTPS kwa max-age ndefu.
  • X-Maudhui-Aina-Chaguo: Weka kwa nosniff [S2].
  • Chaguo-X-Fremu: Weka kuwa DENY au SAMEORIGIN ili kuzuia kubofya [S1].