FixVibe
Covered by FixVibemedium

ناکافی سیکورٹی ہیڈر کنفیگریشن

ویب ایپلیکیشنز اکثر ضروری سیکیورٹی ہیڈرز کو نافذ کرنے میں ناکام رہتی ہیں، جس سے صارفین کو کراس سائٹ اسکرپٹنگ (XSS)، کلک جیکنگ، اور ڈیٹا انجیکشن کا سامنا کرنا پڑتا ہے۔ ویب سیکیورٹی کے قائم کردہ رہنما خطوط پر عمل کرکے اور MDN آبزرویٹری جیسے آڈیٹنگ ٹولز کا استعمال کرتے ہوئے، ڈویلپرز عام براؤزر پر مبنی حملوں کے خلاف اپنی ایپلی کیشنز کو نمایاں طور پر سخت کر سکتے ہیں۔

CWE-693

اثر

سیکورٹی ہیڈر کی غیر موجودگی حملہ آوروں کو کلک جیکنگ کرنے، سیشن کوکیز چوری کرنے، یا کراس سائٹ اسکرپٹنگ (XSS) [S1] کو انجام دینے کی اجازت دیتی ہے۔ ان ہدایات کے بغیر، براؤزرز حفاظتی حدود کو نافذ نہیں کر سکتے، جس کے نتیجے میں ممکنہ ڈیٹا کا اخراج اور غیر مجاز صارف کے اقدامات [S2] ہوتے ہیں۔

بنیادی وجہ

یہ مسئلہ معیاری HTTP سیکورٹی ہیڈر کو شامل کرنے کے لیے ویب سرورز یا ایپلیکیشن فریم ورک کو ترتیب دینے میں ناکامی سے پیدا ہوا ہے۔ اگرچہ ترقی اکثر فنکشنل HTML اور CSS [S1] کو ترجیح دیتی ہے، سیکیورٹی کنفیگریشنز کو اکثر چھوڑ دیا جاتا ہے۔ MDN آبزرویٹری جیسے آڈیٹنگ ٹولز کو ان لاپتہ دفاعی تہوں کا پتہ لگانے اور براؤزر اور سرور کے درمیان تعامل کو یقینی بنانے کے لیے ڈیزائن کیا گیا ہے [S2] محفوظ ہے۔

تکنیکی تفصیلات

سیکیورٹی ہیڈرز براؤزر کو عام خطرات کو کم کرنے کے لیے مخصوص حفاظتی ہدایات فراہم کرتے ہیں:

  • مواد کی حفاظت کی پالیسی (CSP): کنٹرول کرتی ہے کہ کون سے وسائل لوڈ کیے جاسکتے ہیں، غیر مجاز اسکرپٹ پر عمل درآمد اور ڈیٹا انجیکشن [S1] کو روکتا ہے۔
  • سخت-ٹرانسپورٹ-سیکیورٹی (HSTS): اس بات کو یقینی بناتا ہے کہ براؤزر صرف محفوظ HTTPS کنکشنز [S2] پر مواصلت کرے۔
  • X-Frame-Options: ایپلیکیشن کو iframe میں پیش ہونے سے روکتا ہے، جو [S1] کلک جیکنگ کے خلاف بنیادی دفاع ہے۔
  • X-Content-Type-Options: براؤزر کو فائلوں کی وضاحت سے مختلف MIME قسم کے طور پر تشریح کرنے سے روکتا ہے، MIME-sniffing حملوں [S2] کو روکتا ہے۔

FixVibe اس کے لیے کیسے ٹیسٹ کرتا ہے۔

FixVibe ویب ایپلیکیشن کے HTTP رسپانس ہیڈرز کا تجزیہ کرکے اس کا پتہ لگا سکتا ہے۔ MDN آبزرویٹری کے معیارات [S2] کے خلاف نتائج کو بینچ مارک کرنے سے، FixVibe گمشدہ یا غلط کنفیگرڈ ہیڈرز جیسے CSP، ZXCVFIXVIBETOKEN4-ZXFCV-، اور XXFCV-Prame-

درست کریں۔

ایک معیاری حفاظتی کرنسی [S1] کے حصے کے طور پر تمام جوابات میں درج ذیل ہیڈرز کو شامل کرنے کے لیے ویب سرور (جیسے، Nginx، Apache) یا ایپلیکیشن مڈل ویئر کو اپ ڈیٹ کریں:

  • مواد-سیکیورٹی-پالیسی: وسائل کے ذرائع کو قابل اعتماد ڈومینز تک محدود رکھیں۔
  • سخت-ٹرانسپورٹ-سیکیورٹی: طویل max-age کے ساتھ HTTPS کو نافذ کریں۔
  • X-مواد کی قسم کے اختیارات: nosniff [S2] پر سیٹ کریں۔
  • X-Frame-Options: DENY یا SAMEORIGIN پر سیٹ کریں تاکہ کلک جیکنگ [S1] کو روکا جا سکے۔