FixVibe
Covered by FixVibemedium

Xavfsizlik sarlavhasi konfiguratsiyasi yetarli emas

Veb-ilovalar ko'pincha xavfsizlikning muhim sarlavhalarini amalga oshira olmaydi, bu esa foydalanuvchilarni saytlararo skript (XSS), kliklash va ma'lumotlarni kiritishga duchor qiladi. O'rnatilgan veb-xavfsizlik ko'rsatmalariga rioya qilish va MDN Observatory kabi audit vositalaridan foydalangan holda, ishlab chiquvchilar o'z ilovalarini brauzerga asoslangan keng tarqalgan hujumlarga qarshi sezilarli darajada kuchaytirishi mumkin.

CWE-693

Ta'sir

Xavfsizlik sarlavhalarining yo'qligi tajovuzkorlarga klik qilish, seans kukilarini o'g'irlash yoki saytlararo skriptlarni (XSS) [S1] bajarishga imkon beradi. Ushbu ko'rsatmalarsiz brauzerlar xavfsizlik chegaralarini ta'minlay olmaydi, bu esa potentsial ma'lumotlarning o'tkazilishiga va ruxsatsiz foydalanuvchi harakatlariga olib keladi [S2].

Asosiy sabab

Muammo standart HTTP xavfsizlik sarlavhalarini o'z ichiga oladigan veb-serverlar yoki dastur ramkalarini sozlamaganligidan kelib chiqadi. Rivojlanish ko'pincha funktsional HTML va CSS [S1] ga ustuvor ahamiyat bersa-da, xavfsizlik konfiguratsiyasi ko'pincha o'tkazib yuboriladi. MDN Observatory kabi audit vositalari ushbu etishmayotgan mudofaa qatlamlarini aniqlash va brauzer va server o'rtasidagi o'zaro aloqani xavfsiz [S2] ta'minlash uchun mo'ljallangan.

Texnik tafsilotlar

Xavfsizlik sarlavhalari brauzerni umumiy zaifliklarni yumshatish uchun maxsus xavfsizlik ko'rsatmalari bilan ta'minlaydi:

  • Kontent xavfsizligi siyosati (CSP): Qaysi resurslar yuklanishi mumkinligini nazorat qiladi, skriptni ruxsatsiz bajarish va maʼlumotlarni kiritish [S1] oldini oladi.
  • Strict-Transport-Security (HSTS): Brauzer faqat [S2] xavfsiz HTTPS ulanishlari orqali muloqot qilishini ta'minlaydi.
  • X-Frame-Options: [S1] kliklanishiga qarshi asosiy himoya bo‘lgan iframe-da ilovaning ko‘rsatilishini oldini oladi.
  • X-Content-Type-Options: Brauzerning fayllarni belgilanganidan boshqa MIME turi sifatida talqin qilishini oldini oladi, [S2] MIME-sniffing hujumlarini to'xtatadi.

FixVibe buni qanday sinovdan o'tkazadi

FixVibe buni veb-ilovaning HTTP javob sarlavhalarini tahlil qilish orqali aniqlashi mumkin. Natijalarni MDN Observatoriyasi [S2], FixVibe standartlari bilan taqqoslash orqali CSP, ZXCVFIXVIBETOKEN4ZXFra va XZXFra kabi etishmayotgan yoki noto‘g‘ri sozlangan sarlavhalarni belgilashi mumkin.

Tuzatish

[S1] standart xavfsizlik holatining bir qismi sifatida barcha javoblarga quyidagi sarlavhalarni kiritish uchun veb-serverni (masalan, Nginx, Apache) yoki dastur o‘rta ta’minotini yangilang:

  • Kontent-Xavfsizlik-Siyosat: Resurs manbalarini ishonchli domenlar bilan cheklang.
  • Transport-xavfsizlik: HTTPS-ni uzoq max-age bilan amal qiling.
  • X-Content-Type-Options: nosniff [S2] ga sozlang.
  • X-Frame-Options: [S1] kliklanishining oldini olish uchun DENY yoki SAMEORIGIN ga sozlang.