HTTP-Headers: Как да защитите уебсайта си с 3 щраквания

Осигурете се с HTTPS

В тази статия ще проучим използването и прилагането на най-важните HTTP заглавки за сигурност.
 По отношение на Spectre и Meltdown правилното използване на HTTP заглавките е по-важно от всякога - дори Google Developer Surma публикува ръководство за уеб разработчици за защита на потребителите чрез използването на заглавки на защитата.
 В края на краищата, Spectre и Meltdown не са единствените сценарии за атака, които могат да бъдат предотвратени чрез задаване на правилния HTTP заглавие на защита.

Какво представляват HTTP заглавките за сигурност?

Използва се HTTP защитният заглавие на X-Content-Type-Options

HyperText Transfer Protocol (HTTP), по-специално HTTP заглавките за отговор, прехвърлят битове на информация, след като се поиска уебсайт (чрез браузър) от уеб сървър. Изпратената информация съдържа кодове за грешки в състоянието, кодиране на съдържанието, мета данни, правила за кеш и други. Набор от заглавия за сигурност беше и е разработен от проекта за сигурност на отворените уеб приложения (OWASP), за да инструктира браузърите как да се държат при работа с данните и съдържанието на вашия сайт.

Това е необходимо и разумно действие за предотвратяване на проблеми с безопасността. Прочетете, за да научите повече за различните подвизи и как можете да защитите сайта си срещу тези подвизи.

Clickjacking

Clickjacking, известен също като корекция на потребителския интерфейс (UI) или пренастройване на потребителския интерфейс, е техника, при която нападателите използват прозрачни или непрозрачни слоеве, за да провокират нежелани кликвания върху манипулиран интерактивен елемент.
 Например, потребителят кликва върху бутона „Изпращане“ в края на формуляр за контакт, който не изпраща информацията за контакт, но започва да пуска злонамерен код в браузъра. Атаката може да варира от неволно споделяне на социални медии до предоставяне на достъп до микрофона и камерата на потребителя чрез промяна на настройките на плъгините на браузъра.

X-Frame-Options HTTP-Header

Предотвратяването на щракането изисква правилния набор от HTTP-заглавия на X-Frame-Options. Използването на DENY не позволява на всеки домейн да рамкира съдържанието, включително вашето собствено.
 Със SAMEORIGIN позволявате показването на ресурсите в собствения ви домейн, докато ALLOW: FROM последван от домейн позволява показването на съдържание в посочения домейн.

Изтегляния с диск

Изтеглянето (и изпълняването) на нежелан софтуер от уебсайт се нарича „изтегляне чрез задвижване“. Атакуващите крият изпълним файл в например style.css. За да оцени типа съдържание на файла, браузърът оценява съдържанието на ресурса. Ако бъде открит изпълним файл, той автоматично започва да изтегля и изпълнява. Това може да отвори заден прозорец за всяка бъдеща атака, при която нападателите могат да изпълнят всеки код на заразената система, дори без да използват браузъра.
 Не само HTTP комуникациите в браузъра са отворени за този недостатък на сигурността, но и WebSockets, които предоставят подобен, но различен начин за комуникация на данни!

Опции X-Content-Type-Options HTTP-Header

За да защитите потребителите от изтегляния с драйв, задайте HTTP заглавката на X-Content-Type-Options на nosniff. Това трябва да се направи за всеки ресурс.
 Настройката на опцията не позволява на браузъра да идентифицира типа съдържание и да изтегли съответно да изпълнява злонамерен код.

Трябва да се подчертае важността на тази заглавна защита, тъй като разработчиците на Chromium твърдят, че nosniff е една от задължителните задачи за осигуряване на потребителите от Meltdown и Spectre.

Кръстосани скриптове (XSS) Атаки

XSS атаките използват уязвимости в приложенията, за да вмъкват злонамерен код в уебсайт. Този код се изпълнява от браузъра. Например, нападател може да използва поле за въвеждане на несигурен уебсайт, за да вмъкне код, който след това се изпраща директно на уебсайта, след като формулярът бъде изпратен.
 Целта на XSS атаките е най-вече събирането на чувствителни лични данни. Чрез въвеждане напр. JavaScript код, сесийни бисквитки се получават, за да откраднат самоличността на жертвата.

X-XSS-защита HTTP-заглавие

За предотвратяване на XSS атаки се препоръчва използването на заглавката на X-XSS-Protection. Технологията зад тази заглавна защита задейства вътрешната XXS евристика на браузъра. Тези евристики варират значително от браузъра до браузъра: Chrome има тази опция като настройка по подразбиране, докато вътрешният XSS одитор в Safari трябва да бъде активиран чрез настройка на заглавката. Firefox обаче не предоставя никаква евристика, със или без настройка на заглавката. HTTP-заглавие за защита на съдържанието

Друга важна мярка за сигурност срещу XSS атаки е използването на заглавието на Content-Security-Policy (CSP). Функционалността на това заглавие е да определи кои източници са валидни за всеки ресурс. Тъй като заглавката на CSP може да повлияе на вградени скриптове, се препоръчва първо да се използва опцията за отчитане (Content-Security-Policy-Report-Only). С помощта на доклада може да се получи по-градиентен избор на правила.

Разкриване на информация

Уеб сървърите и браузърите могат да разкриват информация за вашите системи през HTTP заглавки. Това може да се използва, като проверите модела и версията на вашия уеб сървър, за да атакувате конкретна уязвимост.
 От друга страна, браузърите често разкриват много информация чрез заглавката Referrer, която се използва и от нападателите.

HTTP-хедър за препоръчваща политика

Предотвратяването на разкриване на информация може да бъде постигнато с помощта на заглавката за политика на препратки. Заглавката регулира към коя цел се предава информацията за препращащия и колко информация се предава. Чрез задаване на заглавката на no-referencer, никаква информация не се прехвърля изобщо. Използването на no-referer при понижаване изпраща по принцип цялата информация, с изключение на целевия сайт е по-малко сигурен. Пример е комуникация от HTTPS до HTTP.

Заглавката „Политика на препоръките“ предлага много опции, които са добре документирани и публично достъпни на уебсайта на Скот Хелм.

Защитен заглавие в wao.io

Както прочетохте, има много заглавия за сигурност и много различни опции за използването им. Задаването на правилните заглавки изисква последователна употреба на различните заглавия във всеки сайт на вашия уебсайт.
 За да се смеси ръчната работа и да се осигури сигурността в мрежата, wao.io предлага възможността да превключвате заглавките за сигурност с просто щракване.

Прости превключватели за осигуряване на вашия уебсайт

Уебсайтовете, които са поставени в залата на срам от securityheaders.io, анализатор на заглавна защита, могат да надстроят резултата си до „A“ резултат, като използват wao.io. Работи се извън кутията без никакви ръчни промени в кода. Защитете уебсайта си с 3 кликвания - регистрирайте се, добавете уебсайт и превключете заглавките за сигурност.

Регистрирайте се безплатно, за да защитите уебсайта си сега!

Тази статия е първоначално написана и публикувана от Verena W. и преведена от Хайнрих Р.

Първоначално публикуван на blog.wao.io