FixVibe
Covered by FixVibemedium

HTTP Güvenlik Başlıkları: Tarayıcı Tarafı Savunması için CSP ve HSTS'nin Uygulanması

Bu araştırma, HTTP güvenlik başlıklarının, özellikle İçerik Güvenliği Politikasının (CSP) ve HTTP Sıkı Aktarım Güvenliğinin (HSTS), web uygulamalarını Siteler Arası Komut Dosyası Çalıştırma (XSS) ve protokol sürüm düşürme saldırıları gibi yaygın güvenlik açıklarından korumadaki kritik rolünü araştırıyor.

CWE-1021CWE-79CWE-319

Güvenlik Başlıklarının Rolü

HTTP güvenlik üstbilgileri, web uygulamalarının, tarayıcılara bir oturum sırasında belirli güvenlik ilkelerini zorunlu kılma talimatı vermesi için standartlaştırılmış bir mekanizma sağlar [S1] [S2]. Bu başlıklar, yalnızca uygulama mantığıyla tam olarak ele alınamayacak riskleri azaltan, kritik bir derinlemesine savunma katmanı görevi görür.

İçerik Güvenliği Politikası (CSP)

İçerik Güvenliği Politikası (CSP), Siteler Arası Komut Dosyası Çalıştırma (XSS) ve veri ekleme saldırıları [S1] dahil olmak üzere belirli saldırı türlerini tespit etmeye ve azaltmaya yardımcı olan bir güvenlik katmanıdır. CSP, hangi dinamik kaynakların yüklenmesine izin verildiğini belirten bir politika tanımlayarak, tarayıcının [S1] saldırganı tarafından enjekte edilen kötü amaçlı komut dosyalarını yürütmesini engeller. Bu, uygulamada bir enjeksiyon güvenlik açığı mevcut olsa bile yetkisiz kodun yürütülmesini etkili bir şekilde kısıtlar.

HTTP Sıkı Aktarım Güvenliği (HSTS)

HTTP Sıkı Aktarım Güvenliği (HSTS), bir web sitesinin tarayıcılara, kendisine HTTP [S2] yerine yalnızca HTTPS kullanılarak erişilmesi gerektiği konusunda bilgi vermesini sağlayan bir mekanizmadır. Bu, istemci ile sunucu arasındaki tüm iletişimin [S2] ile şifrelenmesini sağlayarak protokol sürüm düşürme saldırılarına ve çerez ele geçirmeye karşı koruma sağlar. Bir tarayıcı bu başlığı aldığında, siteye HTTP aracılığıyla erişmeye yönelik sonraki tüm girişimleri otomatik olarak HTTPS isteklerine dönüştürecektir.

Eksik Başlıkların Güvenlik Etkileri

Bu üstbilgileri uygulamakta başarısız olan uygulamalar, istemci tarafının tehlikeye girmesi açısından çok daha yüksek bir risk altındadır. İçerik Güvenliği Politikasının bulunmaması, yetkisiz komut dosyalarının yürütülmesine izin verir ve bu da oturumun ele geçirilmesine, izinsiz veri sızmasına veya tahrifata yol açabilir [S1]. Benzer şekilde, bir HSTS başlığının bulunmaması, kullanıcıları ortadaki adam (MITM) saldırılarına karşı savunmasız bırakır; özellikle ilk bağlantı aşamasında, bir saldırgan trafiğe müdahale edebilir ve kullanıcıyı [S2] sitesinin kötü amaçlı veya şifrelenmemiş bir sürümüne yönlendirebilir.

FixVibe bunu nasıl test ediyor?

FixVibe bunu zaten pasif tarama kontrolü olarak içeriyor. headers.security-headers, Content-Security-Policy, Strict-Transport-Security, X-Frame-Options veya frame-ancestors, X-Content-Type-Options'nin varlığı ve gücü açısından genel HTTP yanıt meta verilerini denetler. Referrer-Policy ve Permissions-Policy. Eksik veya zayıf değerleri, istismar araştırmaları olmadan rapor eder ve düzeltme istemi, yaygın uygulama ve CDN kurulumları için dağıtıma hazır başlık örnekleri verir.

Düzeltme Kılavuzu

Güvenlik durumunu iyileştirmek için web sunucularının bu başlıkları tüm üretim rotalarında döndürecek şekilde yapılandırılması gerekir. Güçlü bir CSP, script-src ve object-src gibi komut dosyası yürütme ortamlarını sınırlamak için [S1] gibi yönergeler kullanılarak uygulamanın özel kaynak gereksinimlerine göre uyarlanmalıdır. Aktarım güvenliği için Strict-Transport-Security üstbilgisi, [S2] kullanıcı oturumları arasında kalıcı koruma sağlamak amacıyla uygun bir max-age yönergesiyle etkinleştirilmelidir.