FixVibe
Covered by FixVibemedium

Cấu hình tiêu đề bảo mật không đầy đủ

Các ứng dụng web thường không triển khai được các tiêu đề bảo mật thiết yếu, khiến người dùng có nguy cơ gặp phải kịch bản chéo trang (XSS), nhấp chuột và tiêm dữ liệu. Bằng cách tuân theo các nguyên tắc bảo mật web đã được thiết lập và sử dụng các công cụ kiểm tra như Đài quan sát MDN, các nhà phát triển có thể tăng cường đáng kể ứng dụng của họ trước các cuộc tấn công dựa trên trình duyệt phổ biến.

CWE-693

Tác động

Việc không có tiêu đề bảo mật cho phép kẻ tấn công thực hiện thao tác nhấp chuột, đánh cắp cookie phiên hoặc thực thi tập lệnh chéo trang (XSS) [S1]. Nếu không có những hướng dẫn này, trình duyệt không thể thực thi các ranh giới bảo mật, dẫn đến nguy cơ đánh cắp dữ liệu và các hành động trái phép của người dùng [S2].

Nguyên nhân gốc rễ

Sự cố bắt nguồn từ việc không định cấu hình máy chủ web hoặc khung ứng dụng để bao gồm các tiêu đề bảo mật HTTP tiêu chuẩn. Mặc dù quá trình phát triển thường ưu tiên HTML và CSS chức năng [S1] nhưng các cấu hình bảo mật thường bị bỏ qua. Các công cụ kiểm tra như Đài quan sát MDN được thiết kế để phát hiện các lớp phòng thủ bị thiếu này và đảm bảo tương tác giữa trình duyệt và máy chủ được an toàn [S2].

Chi tiết kỹ thuật

Tiêu đề bảo mật cung cấp cho trình duyệt các chỉ thị bảo mật cụ thể để giảm thiểu các lỗ hổng phổ biến:

  • Chính sách bảo mật nội dung (CSP): Kiểm soát những tài nguyên nào có thể được tải, ngăn chặn việc thực thi tập lệnh và tiêm dữ liệu trái phép [S1].
  • Strict-Transport-Security (HSTS): Đảm bảo trình duyệt chỉ giao tiếp qua các kết nối HTTPS an toàn [S2].
  • X-Frame-Options: Ngăn ứng dụng hiển thị trong iframe, đây là biện pháp bảo vệ chính chống lại việc nhấp chuột vào [S1].
  • X-Content-Type-Options: Ngăn trình duyệt diễn giải các tệp dưới dạng loại MIME khác với loại được chỉ định, ngăn chặn các cuộc tấn công đánh hơi MIME [S2].

FixVibe kiểm tra nó như thế nào

FixVibe có thể phát hiện điều này bằng cách phân tích tiêu đề phản hồi HTTP của ứng dụng web. Bằng cách so sánh kết quả với các tiêu chuẩn của Đài quan sát MDN [S2], FixVibe có thể gắn cờ các tiêu đề bị thiếu hoặc định cấu hình sai như CSP, HSTS và X-Frame-Options.

Sửa

Cập nhật máy chủ web (ví dụ: Nginx, Apache) hoặc phần mềm trung gian ứng dụng để bao gồm các tiêu đề sau trong tất cả các phản hồi như một phần của trạng thái bảo mật tiêu chuẩn [S1]:

  • Chính sách bảo mật nội dung: Hạn chế nguồn tài nguyên ở các miền đáng tin cậy.
  • Bảo mật-Vận chuyển Nghiêm ngặt: Thực thi HTTPS bằng max-age dài.
  • X-Content-Type-Options: Đặt thành nosniff [S2].
  • X-Frame-Options: Đặt thành DENY hoặc SAMEORIGIN để tránh nhấp chuột vào [S1].