FixVibe
Covered by FixVibemedium

HTTP xavfsizlik sarlavhalari: Brauzer tomondan himoya qilish uchun CSP va HSTS ni joriy qilish

Ushbu tadqiqot HTTP xavfsizlik sarlavhalarining, xususan, Kontent xavfsizligi siyosati (CSP) va HTTP qat'iy transport xavfsizligi (HSTS) ning veb-ilovalarni saytlararo skript (HSTSEN0) kabi keng tarqalgan zaifliklardan himoya qilishdagi muhim rolini o'rganadi.

CWE-1021CWE-79CWE-319

Xavfsizlik sarlavhalarining roli

HTTP xavfsizlik sarlavhalari veb-ilovalar uchun [S1] [S2] sessiyasi davomida brauzerlarga maxsus xavfsizlik siyosatini qo'llashni ko'rsatish uchun standartlashtirilgan mexanizmni taqdim etadi. Ushbu sarlavhalar faqat dastur mantig'i bilan to'liq hal etilmasligi mumkin bo'lgan xavflarni yumshatib, chuqur himoya qilishning muhim qatlami sifatida ishlaydi.

Kontent xavfsizligi siyosati (CSP)

Kontent xavfsizligi siyosati (CSP) maʼlum turdagi hujumlarni, jumladan, saytlararo skript yaratish (XSS) va maʼlumotlarni kiritish [S1] hujumlarini aniqlash va kamaytirishga yordam beruvchi xavfsizlik qatlamidir. Qaysi dinamik resurslarni yuklashga ruxsat berilganligini belgilaydigan siyosatni belgilash orqali CSP brauzer [S1] tajovuzkor tomonidan kiritilgan zararli skriptlarni bajarishini oldini oladi. Bu ilovada in'ektsiya zaifligi mavjud bo'lsa ham, ruxsatsiz kodning bajarilishini samarali ravishda cheklaydi.

HTTP qat'iy transport xavfsizligi (HSTS)

HTTP qat'iy transport xavfsizligi (HSTS) veb-saytga brauzerlarga HTTP [S2] emas, faqat HTTPS orqali kirish kerakligi haqida xabar berishga imkon beruvchi mexanizmdir. Bu mijoz va server o'rtasidagi barcha aloqa [S2] shifrlangan bo'lishini ta'minlash orqali protokolni pasaytirish hujumlari va cookie fayllarini o'g'irlashdan himoya qiladi. Brauzer ushbu sarlavhani olgandan so'ng, u HTTP orqali saytga kirish uchun keyingi barcha urinishlarni avtomatik ravishda HTTPS so'rovlariga aylantiradi.

Yo'qolgan sarlavhalarning xavfsizlik oqibatlari

Ushbu sarlavhalarni amalga oshira olmaydigan ilovalar mijoz tomonidan murosa qilish xavfi sezilarli darajada yuqori. Kontent xavfsizligi siyosatining yo'qligi ruxsatsiz skriptlarni bajarishga imkon beradi, bu esa seansni o'g'irlash, ma'lumotlarning ruxsatsiz eksfiltratsiyasi yoki [S1] faylini buzishga olib kelishi mumkin. Xuddi shunday, HSTS sarlavhasining yo‘qligi foydalanuvchilarni o‘rtadagi odam (MITM) hujumlariga moyil bo‘lib qoldiradi, ayniqsa ulanishning dastlabki bosqichida, bu yerda tajovuzkor trafikni to‘xtatib, foydalanuvchini ZXCVFIXVIBETOKEN1XC saytining zararli yoki shifrlanmagan versiyasiga yo‘naltirishi mumkin.

FixVibe buni qanday sinovdan o'tkazadi

FixVibe allaqachon buni passiv skanerlash tekshiruvi sifatida o'z ichiga oladi. headers.security-headers umumiy HTTP javob metamaʼlumotlarini Content-Security-Policy, Strict-Transport-Security, X-Frame-Options yoki ZXCVFIXVIBETOKEN4ZOKCXVXVX, ZXCVFIXVIBETOKEN4ZOKCXVCVX, Content-Security-PolicyC, mavjudligi va mustahkamligini tekshiradi. Referrer-Policy va Permissions-Policy. U ekspluatatsiya tekshiruvlarisiz etishmayotgan yoki zaif qiymatlar haqida xabar beradi va uning tuzatish taklifi keng tarqalgan ilovalar va CDN sozlamalari uchun joylashtirishga tayyor sarlavha misollarini beradi.

Tuzatish bo'yicha qo'llanma

Xavfsizlik holatini yaxshilash uchun veb-serverlar ushbu sarlavhalarni barcha ishlab chiqarish yo'nalishlarida qaytarish uchun sozlanishi kerak. Kuchli CSP ZXCVFIXVIBETOKEN4ZXC skriptni bajarish muhitini cheklash uchun script-src va object-src kabi direktivalardan foydalanib, ilovaning maxsus resurs talablariga moslashtirilishi kerak. Transport xavfsizligi uchun Strict-Transport-Security sarlavhasi [S2] foydalanuvchi sessiyalarida doimiy himoyani taʼminlash uchun tegishli max-age direktivasi bilan yoqilishi kerak.