FixVibe
Covered by FixVibemedium

ינאַדאַקוואַט זיכערהייט כעדער קאַנפיגיעריישאַן

וועב אַפּלאַקיישאַנז אָפט דורכפאַל צו ינסטרומענט יקערדיק זיכערהייט כעדערז, וואָס לאָזן וסערס יקספּאָוזד צו קרייַז-פּלאַץ סקריפּטינג (XSS), קליקקדזשאַקינג און דאַטן ינדזשעקשאַן. דורך נאָכגיין געגרינדעט וועב זיכערהייט גיידליינז און ניצן אַדאַטינג מכשירים ווי די MDN אָבסערוואַטאָרי, דעוועלאָפּערס קענען באטייטיק פאַרגליווערן זייער אַפּלאַקיישאַנז קעגן פּראָסט בלעטערער-באזירט אנפאלן.

CWE-693

אימפאקט

דער אַוועק פון זיכערהייט כעדערז אַלאַוז אַטאַקערז צו דורכפירן קליקקדזשאַקינג, גאַנווענען סעסיע קיכלעך אָדער ויספירן קרייַז-פּלאַץ סקריפּטינג (XSS) [S1]. אָן די ינסטראַקשאַנז, בראַוזערז קענען נישט דורכפירן זיכערהייט באַונדריז, וואָס פירן צו פּאָטענציעל עקספילטריישאַן פון דאַטן און אַנאָטערייזד באַניצער אַקשאַנז [S2].

וואָרצל גרונט

די אַרויסגעבן סטעמס פון אַ דורכפאַל צו קאַנפיגיער וועב סערווערס אָדער אַפּלאַקיישאַן פראַמעוואָרקס צו אַרייַננעמען נאָרמאַל הטטפּ זיכערהייט כעדערז. כאָטש אַנטוויקלונג אָפט פּרייאָראַטייז פאַנגקשאַנאַל HTML און CSS [S1], זיכערהייט קאַנפיגיעריישאַנז זענען אָפט איבערגעהיפּערט. אַודיטינג מכשירים ווי די MDN אָבסערוואַטאָרי זענען דיזיינד צו דעטעקט די פעלנדיק דיפענסיוו לייַערס און ענשור אַז די ינטעראַקשאַן צווישן דעם בלעטערער און סערווער איז זיכער [S2].

טעכניש דעטאַילס

זיכערהייט כעדערז צושטעלן דעם בלעטערער מיט ספּעציפיש זיכערהייט דיירעקטיווז צו פאַרמינערן פּראָסט וואַלנעראַביליטיז:

  • אינהאַלט זיכערהייט פּאָליטיק (CSP): קאָנטראָלס וואָס רעסורסן קענען זיין לאָודיד, פּרעווענטינג אַנאָטערייזד שריפט דורכפירונג און דאַטן ינדזשעקשאַן [S1].
  • שטרענג-טראַנספּאָרט-זיכערהייט (HSTS): ינשורז אַז דער בלעטערער נאָר קאַמיוניקייץ איבער זיכער הטטפּס קאַנעקשאַנז [S2].
  • X-Frame-Options: פּריווענץ די אַפּלאַקיישאַן פון רענדערד אין אַן יפאַמע, וואָס איז אַ ערשטיק פאַרטיידיקונג קעגן קליקקדזשאַקינג [S1].
  • X-Content-Type-אָפּציעס: פּריווענץ דעם בלעטערער פון ינטערפּריטיישאַן פון טעקעס ווי אַ אַנדערש MIME טיפּ ווי וואָס איז ספּעסיפיעד, סטאָפּפּינג MIME-סניפינג אַטאַקס [S2].

ווי FixVibe טעסץ פֿאַר עס

FixVibe קען דעטעקט דעם דורך אַנאַלייזינג די הטטפּ ענטפער כעדערז פון אַ וועב אַפּלאַקיישאַן. דורך בענטשמאַרקינג די רעזולטאַטן קעגן די MDN אָבסערוואַטאָרי סטאַנדאַרדס [S2], FixVibe קענען פאָן פעלנדיק אָדער מיסקאַנפיגיערד כעדערז אַזאַ ווי CSP, HSTS און X-Frame-Options.

פאַרריכטן

דערהייַנטיקן די וועב סערווער (למשל, Nginx, Apache) אָדער אַפּלאַקיישאַן מידאַלוואַרע צו אַרייַננעמען די פאלגענדע כעדערז אין אַלע רעספּאָנסעס ווי אַ טייל פון אַ נאָרמאַל זיכערהייט האַלטנ זיך [S1]:

  • אינהאַלט-סעקוריטי-פּאָליטיק: באַגרענעצן מיטל קוואלן צו טראַסטיד דאָומיינז.
  • שטרענג-טראַנספּאָרט-סעקוריטי : ענפאָרס הטטפּס מיט אַ לאַנג max-age.
  • X-Content-Type-Options: שטעלן צו nosniff [S2].
  • X-Frame-Options: שטעלן צו DENY אָדער SAMEORIGIN צו פאַרמייַדן קליקקדזשאַקינג [S1].