FixVibe
Covered by FixVibemedium

HTTP سیکیورٹی ہیڈرز: براؤزر سائیڈ ڈیفنس کے لیے CSP اور HSTS کو نافذ کرنا

یہ تحقیق ویب ایپلیکیشنز کو کراس سائٹ اسکرپٹنگ (ZXVICVXVIBETOKEN 1ZXCV) اور ایچ ٹی ٹی پی اسٹریکٹ ٹرانسپورٹ سیکیورٹی (HSTS) کے اہم کردار کی کھوج کرتی ہے، خاص طور پر کراس سائٹ اسکرپٹنگ (HSTS) جیسے عام خطرات سے ویب ایپلیکیشنز کی حفاظت میں۔ حملے

CWE-1021CWE-79CWE-319

سیکیورٹی ہیڈرز کا کردار

HTTP سیکیورٹی ہیڈر ویب ایپلیکیشنز کے لیے ایک معیاری طریقہ کار فراہم کرتے ہیں تاکہ براؤزر کو سیشن [S1] [S2] کے دوران مخصوص سیکیورٹی پالیسیوں کو نافذ کرنے کی ہدایت کریں۔ یہ ہیڈر گہرائی سے دفاع کی ایک اہم پرت کے طور پر کام کرتے ہیں، ایسے خطرات کو کم کرتے ہیں جن کا صرف اطلاق کی منطق سے مکمل طور پر نمٹا نہیں جا سکتا۔

مواد کی حفاظت کی پالیسی (CSP)

مواد کی حفاظت کی پالیسی (CSP) ایک حفاظتی تہہ ہے جو حملوں کی مخصوص قسموں کا پتہ لگانے اور ان میں تخفیف کرنے میں مدد کرتی ہے، بشمول کراس سائٹ اسکرپٹنگ (XSS) اور ڈیٹا انجیکشن حملے [S1]۔ ایک ایسی پالیسی کی وضاحت کرتے ہوئے جو یہ بتاتی ہے کہ کون سے متحرک وسائل کو لوڈ کرنے کی اجازت ہے، CSP براؤزر کو حملہ آور [S1] کے ذریعے انجیکشن کردہ بدنیتی پر مبنی اسکرپٹس پر عمل کرنے سے روکتا ہے۔ یہ مؤثر طریقے سے غیر مجاز کوڈ کے نفاذ کو روکتا ہے یہاں تک کہ اگر درخواست میں انجیکشن کا خطرہ موجود ہو۔

HTTP سخت ٹرانسپورٹ سیکیورٹی (HSTS)

HTTP سخت ٹرانسپورٹ سیکیورٹی (HSTS) ایک ایسا طریقہ کار ہے جو کسی ویب سائٹ کو براؤزرز کو مطلع کرنے کی اجازت دیتا ہے کہ اسے HTTP [S2] کے بجائے صرف HTTPS کے ذریعے ہی رسائی حاصل کی جانی چاہیے۔ یہ پروٹوکول ڈاون گریڈ حملوں اور کوکی ہائی جیکنگ سے بچاتا ہے اس بات کو یقینی بنا کر کہ کلائنٹ اور سرور کے درمیان تمام مواصلت [S2] کو خفیہ ہے۔ ایک بار جب کسی براؤزر کو یہ ہیڈر موصول ہو جاتا ہے، تو یہ خود بخود HTTP کے ذریعے سائٹ تک رسائی کی تمام کوششوں کو HTTPS درخواستوں میں تبدیل کر دے گا۔

غائب ہیڈر کے حفاظتی مضمرات

ان ہیڈرز کو نافذ کرنے میں ناکام رہنے والی ایپلیکیشنز کلائنٹ سائیڈ کمپرومائز کے نمایاں طور پر زیادہ خطرے میں ہوتی ہیں۔ مواد کی حفاظتی پالیسی کی عدم موجودگی غیر مجاز اسکرپٹس پر عمل درآمد کی اجازت دیتی ہے، جو سیشن ہائی جیکنگ، غیر مجاز ڈیٹا کے اخراج، یا [S1] کو خراب کرنے کا باعث بن سکتی ہے۔ اسی طرح، HSTS ہیڈر کی کمی صارفین کو مین-ان-دی-مڈل (MITM) حملوں کے لیے حساس چھوڑ دیتی ہے، خاص طور پر ابتدائی کنکشن کے مرحلے کے دوران، جہاں ایک حملہ آور ٹریفک کو روک سکتا ہے اور صارف کو ZXCVFIXVIBETOKEN1 کے نقصاندہ یا غیر خفیہ کردہ ورژن پر بھیج سکتا ہے۔

FixVibe اس کے لیے کیسے ٹیسٹ کرتا ہے۔

FixVibe پہلے سے ہی اسے ایک غیر فعال اسکین چیک کے طور پر شامل کرتا ہے۔ headers.security-headers Content-Security-Policy، Strict-Transport-Security، X-Frame-Options یا X-Frame-Options یا ZXCVFIXVIBETOKEN, ZXVXVXVXVX5, ZXCVFIXVIBETOKEN, ZXVX5X کی موجودگی اور طاقت کے لیے عوامی HTTP رسپانس میٹا ڈیٹا کا معائنہ کرتا ہے۔ Referrer-Policy، اور Permissions-Policy۔ یہ ایکسپلائٹ پروبس کے بغیر گمشدہ یا کمزور اقدار کی اطلاع دیتا ہے، اور اس کا فکس پرامپٹ عام ایپ اور CDN سیٹ اپس کے لیے تعیناتی کے لیے تیار ہیڈر کی مثالیں دیتا ہے۔

اصلاحی رہنمائی

حفاظتی کرنسی کو بہتر بنانے کے لیے، ویب سرورز کو ان ہیڈرز کو تمام پیداواری راستوں پر واپس کرنے کے لیے ترتیب دیا جانا چاہیے۔ ایک مضبوط CSP کو ایپلیکیشن کے مخصوص وسائل کی ضروریات کے مطابق بنایا جانا چاہیے، script-src اور object-src جیسی ہدایات کا استعمال کرتے ہوئے اسکرپٹ پر عمل درآمد کے ماحول کو محدود کرنے کے لیے CSP۔ ٹرانسپورٹ سیکیورٹی کے لیے، Strict-Transport-Security ہیڈر کو ایک مناسب max-age ہدایت کے ساتھ فعال کیا جانا چاہیے تاکہ صارف کے سیشنز [S2] میں مستقل تحفظ کو یقینی بنایا جا سکے۔