FixVibe
Covered by FixVibemedium

HTTP Howpsuzlyk sözbaşylary: Brauzer-tarap goragy üçin CSP we HSTS ýerine ýetirmek

Bu gözleg, HTTP howpsuzlyk sözbaşylarynyň, hususan-da Mazmun howpsuzlygy syýasaty (CSP) we HTTP berk ulag howpsuzlygy (HSTS), web programmalaryny Sahypa skriptleri (ZXCVFIXVIBETOKEN0Z) ýaly umumy gowşaklyklardan goramakda möhüm rol oýnaýar.

CWE-1021CWE-79CWE-319

Howpsuzlyk sözbaşylarynyň roly

HTTP howpsuzlyk sözbaşylary, [S1] [S2] sessiýasynda brauzerlere anyk howpsuzlyk syýasatlaryny berjaý etmegi tabşyrmak üçin web programmalary üçin standartlaşdyrylan mehanizm bilen üpjün edýär. Bu sözbaşylar, diňe amaly logika bilen doly çözülip bilinmejek töwekgelçilikleri azaltmak üçin goranyş çuňlugynyň möhüm gatlagy hökmünde çykyş edýär.

Mazmun howpsuzlygy syýasaty (CSP)

Mazmun howpsuzlygy syýasaty (CSP), Sahypa skriptleri (XSS) we maglumat sanjym hüjümleri [S1] ýaly hüjümleriň käbir görnüşlerini ýüze çykarmaga we azaltmaga kömek edýän howpsuzlyk gatlagydyr. Haýsy dinamiki çeşmeleriň ýüklenmegine rugsat berilýändigini kesgitleýän syýasaty kesgitlemek bilen, CSP brauzeriň hüjümçi [S1] tarapyndan sanjym edilen zyýanly skriptleri ýerine ýetirmeginiň öňüni alýar. Bu programmada sanjym gowşaklygy bar bolsa-da, birugsat koduň ýerine ýetirilmegini netijeli çäklendirýär.

HTTP berk ulag howpsuzlygy (HSTS)

HTTP berk transport howpsuzlygy (HSTS), web sahypasyna brauzerlere diňe HTTP [S2] däl-de, diňe HTTPS arkaly girip boljakdygyny habar bermäge mümkinçilik berýän mehanizmdir. Bu, müşderi bilen serweriň arasyndaky ähli aragatnaşygyň [S2] kodlanmagyny üpjün etmek arkaly protokoly peseltmek hüjümlerinden we gutapjyklaryň ogurlanmagyndan goraýar. Brauzer bu sözbaşy alandan soň, HTTP arkaly sahypa girmek üçin edilen ähli synanyşyklary awtomatiki usulda HTTPS isleglerine öwürer.

ingitirilen sözbaşylaryň howpsuzlyk täsiri

Bu sözbaşylary ýerine ýetirip bilmedik programmalar, müşderi bilen ylalaşyk howpundan has ýokary. Mazmun howpsuzlygy syýasatynyň ýoklugy, sessiýanyň ogurlanmagyna, rugsatsyz maglumatlaryň süzülmegine ýa-da [S1] pozulmagyna sebäp bolup biljek rugsatsyz skriptleri ýerine ýetirmäge mümkinçilik berýär. Edil şonuň ýaly-da, HSTS sözbaşysynyň ýoklugy, ulanyjylaryň arasynda (MITM) hüjümlere sezewar bolýar, esasanam başlangyç baglanyşyk döwründe, hüjümçi traffigi saklap we ulanyjyny ZXCVFIXVIBETOKEN1ZX saýtynyň zyýanly ýa-da kodlanmadyk görnüşine gönükdirip biler.

FixVibe munuň üçin nädip synag edýär

FixVibe muny eýýäm passiw skaner barlagy hökmünde öz içine alýar. headers.security-headers köpçülige açyk HTTP jogap meta-maglumatyny Content-Security-Policy, Strict-Transport-Security, X-Frame-Options ýa-da ZXCVFIXVIBET X-Content-Type-Options, Referrer-Policy we Permissions-Policy. Synaglary ulanman ýitirilen ýa-da gowşak gymmatlyklary habar berýär we düzediş teklibi umumy programma we CDN sazlamalary üçin taýyn sözbaşy mysallaryny berýär.

Düzediş gollanmasy

Howpsuzlyk ýagdaýyny gowulandyrmak üçin bu sözbaşylary ähli önümçilik ugurlarynda yzyna gaýtarmak üçin web serwerleri düzülmelidir. Ygtybarly CSP, script-src we object-src ýaly görkezmeleri ulanyp, programmanyň aýratyn çeşme talaplaryna laýyk gelmelidir [S1]. Ulag howpsuzlygy üçin, [S2] ulanyjy sessiýalarynda yzygiderli goragy üpjün etmek üçin Strict-Transport-Security sözbaşy degişli max-age görkezmesi bilen işledilmelidir.