Вплив
Невиконання важливих для безпеки конфігурацій може призвести до того, що веб-додатки будуть наражатися на ризики на рівні браузера та транспортного рівня. Інструменти автоматичного сканування допомагають виявити ці прогалини, аналізуючи, як веб-стандарти застосовуються до HTML, CSS і JavaScript [S1]. Виявлення цих ризиків на ранній стадії дозволяє розробникам усунути недоліки конфігурації до того, як їх зможуть використати зовнішні учасники [S1].
Основна причина
Основною причиною цих вразливостей є відсутність важливих для безпеки заголовків відповіді HTTP або неправильна конфігурація веб-стандартів [S1]. Розробники можуть віддати пріоритет функціональності програми, не звертаючи уваги на інструкції щодо безпеки на рівні веб-переглядача, необхідні для сучасної веб-безпеки [S1].
Конкретні виправлення
- Аудит конфігурацій безпеки: Регулярно використовуйте засоби сканування, щоб перевірити реалізацію важливих для безпеки заголовків і конфігурацій у програмі [S1].
- Дотримуйтеся веб-стандартів: переконайтеся, що реалізації HTML, CSS і JavaScript відповідають правилам безпечного кодування, задокументованими основними веб-платформами, щоб підтримувати надійну безпеку [S1].
Як FixVibe перевіряє це
FixVibe уже покриває це за допомогою пасивного модуля сканера headers.security-headers. Під час звичайного пасивного сканування FixVibe отримує ціль, як браузер, і перевіряє кореневу відповідь HTML для CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy та Permissions-Policy. Висновки залишаються пасивними та заснованими на джерелі: сканер повідомляє точний слабкий або відсутній заголовок відповіді, не надсилаючи корисні навантаження експлойтів.