HTTP Security Headers: Protecția suplimentară client-side

Publicat de Iulian Băncău · 15-05-2023 · Citire în 7 min.

HTTP Security Headers: Protecția suplimentară client-side

HTTP Security Headers: Protecția suplimentară client-side

Headerele de scuritate sunt directive folosite de aplicațiile web pentru a configura elemente de protecție în browserele web. Pe baza acestor directive, browserele web fac mai greu de exploatat vulnerabilități client-side cum ar fi Cross-Site Scripting (XSS), Clickjacking, Code Injection etc.

HSTS (HTTP Strict Transport Security)

HTTP Strict Transport Security (HSTS) este o caracteristică importantă de securitate care ajută la protejarea site-urilor și a utilizatorilor lor împotriva diverselor forme de atacuri, inclusiv atacurile man-in-the-middle (MITM), furtul de sesiuni și de cookie-uri.

HSTS funcționează prin instruirea browserelor web să utilizeze doar conexiuni HTTPS securizate atunci când comunică cu un site web, chiar dacă utilizatorul introduce manual un URL HTTP sau face clic pe un link non-securizat. Prin forțarea traficului să utilizeze doar HTTPS, HSTS ajută la prevenirea interceptării sau modificării traficului și ajută, de asemenea, la prevenirea expunerii neintenționate a datelor sensibile de către utilizatori.

În plus, HSTS ajută și la protejarea împotriva unui tip de atac numit SSL stripping, în care un atacator degradează conexiunea la HTTP și apoi interceptează traficul. Prin instruirea browserului să utilizeze întotdeauna HTTPS, HSTS ajută la prevenirea acestui tip de atac și asigură că datele utilizatorului sunt întotdeauna criptate.

În general, HSTS este o caracteristică importantă de securitate care ar trebui implementată de toate site-urile web care necesită un nivel ridicat de securitate. Prin forțarea traficului să utilizeze doar HTTPS, HSTS poate ajuta la prevenirea unei game largi de atacuri și poate proteja datele utilizatorului de interceptare sau furt.

Remediere:

  1. Editați fișierul „httpd.conf” și activați linia “LoadModule headers_module modules/mod_headers.so”.
  2. Adăugați în VirtualHost următoarea linie:
    Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
  3. Restartați serverul web

Content Security Policy (CSP)

Headerul de răspuns Content Security Policy (CSP) ajută la prevenirea diferitelor tipuri de atacuri, cum ar fi atacurile de tip cross-site scripting (XSS) și atacurile de injectare de date, permitând dezvoltatorilor de site-uri să definească sursele din care browser-ul poate executa script-uri, încărca resurse și interacționa cu pagina web.

Despre CSP - Content Security Policy am scris mai pe larg în articolul: Content Security Policy - Restricționarea surselor de la care acceptăm resurse

XSS-Protection (va fi înlocuit de directiva reflected-xss din CSP)

Headerul de răspuns XSS-Protection ajută la prevenirea atacurilor de tip cross-site scripting (XSS), care este una dintre cele mai comune vulnerabilități ale aplicațiilor web.

Headerul XSS-Protection instruiește browser-ul web să activeze protecția împotriva XSS, care detectează și previne încercările de injectare de script-uri malitioase. Când headerul este activat, browser-ul va curăța automat conținutul HTML al paginii web și va elimina orice script-uri sau coduri potențial periculoase care ar putea fi injectate de un atacator.

Prin utilizarea headerului XSS-Protection, dezvoltatorii pot oferi un layer suplimentar de protecție împotriva atacurilor XSS și se pot asigura că site-urile sunt mai puțin vulnerabile la injecții de cod. Acest lucru poate ajuta la protejarea datelor utilizatorilor, prevenirea capturării sesiunilor și a furtului de identitate și la protejarea în general a securității aplicației web.

În plus, headerul XSS-Protection este relativ ușor de implementat și poate fi adăugat în header-urile de răspuns ale aplicației web cu doar câteva linii de cod. Prin utilizarea acestei măsuri simple, dar eficiente de securitate, dezvoltatorii pot reduce semnificativ riscul de atacuri XSS și pot îmbunătăți în mod general securitatea aplicației web.

În general, headerul de răspuns XSS-Protection este o caracteristică importantă de securitate pe care fiecare aplicație web ar trebui să o implementeze pentru a se proteja împotriva amenințării tot mai prezente a atacurilor XSS.

Remediere:

  1. Adăugați în VirtualHost următoarea linie:
    Header set X-XSS-Protection "1; mode=block"
  2. Restartați serverul web

Referrer-Policy

Header-ul de răspuns HTTP Referrer-Policy poate ajuta la protejarea aplicațiilor web împotriva diferitelor tipuri de atacuri, inclusiv Cross-Site Request Forgery (CSRF) și Information Leakage.

Header-ul Referrer-Policy controlează câtă informație este inclusă în header-ul HTTP Referer atunci când un utilizator face clic pe un link sau trimite un formular care îl duce de pe o pagină web pe alta.

Header-ul Referer include de obicei URL-ul paginii de unde utilizatorul a făcut clic pe link sau a trimis formularul.

Dacă header-ul Referrer-Policy nu este setat sau este setat la o valoare de "no-referrer", atunci header-ul Referer nu va fi trimis, ceea ce poate împiedica atacatorii să-l utilizeze pentru a lansa atacuri CSRF.

Cu toate acestea, acest lucru poate împiedica cazurile de utilizare legitime în care header-ul Referer este necesar, cum ar fi în scopuri de analiză sau de depanare.

În schimb, dacă header-ul Referrer-Policy este setat la o valoare de "strict-origin-when-cross-origin" sau "same-origin", atunci header-ul Referer va fi trimis doar pentru cererile de la aceiași origine, sau pentru cererile de la o altă origine către același domeniu.

În general, header-ul Referrer-Policy este o caracteristică importantă de securitate care ar trebui implementată de toate aplicațiile web pentru a ajuta la protejarea împotriva atacurilor CSRF și a scurgerilor de informații. Prin controlul cantității de informații incluse în header-ul Referer, header-ul poate ajuta la prevenirea exploatarea vulnerabilităților în aplicațiile web și la protejarea datelor utilizatorilor de expunere.

Remediere:

  1. Adăugați în VirtualHost următoarea linie:
    Header always set Referrer-Policy "strict-origin"
  2. Restartați serverul web

X-Frame-Options

Header-ul X-Frame-Options este o caracteristică de securitate care poate ajuta la protejarea aplicațiilor web împotriva atacurilor de tip clickjacking.

Clickjacking-ul este un tip de atac în care un atacator îi păcălește pe utilizatori să dea clic pe un buton sau un link de pe o pagină web care este ascuns sau disimulat ca un element legitim.

X-Frame-Options și modul în care poate fi setat am scris mai pe larg în articolul: X-Frame-Options: Protejarea aplicațiilor web împotriva atacurilor de tip Clickjacking

X-Content-Type-Options

Header-ul X-Content-Type-Options este o caracteristică importantă de securitate care poate ajuta la protejarea aplicațiilor web împotriva atacurilor de confuzie a tipului MIME.

Atacurile de confuzie a tipului MIME apar atunci când un server web servește conținut cu un tip MIME greșit, ceea ce poate permite unui atacator să execute cod malitios pe computerul utilizatorului. De exemplu, un atacator ar putea crea un fișier care pare a fi o imagine, dar este de fapt un fișier executabil. Dacă serverul web servește acest fișier cu un tip MIME greșit, browserul utilizatorului poate executa fișierul ca și cum ar fi o imagine, permițând atacatorului să preia controlul asupra computerului utilizatorului.

Header-ul X-Content-Type-Options permite dezvoltatorilor web să prevină acest tip de atac prin specificarea dacă browserul trebuie sau nu să poată detecta tipul de conținut al unui răspuns. Prin setarea header-ului la "nosniff", dezvoltatorii pot instrui browserul să folosească întotdeauna tipul MIME specificat în header-ul Content-Type, în loc să încerce să detecteze tipul de conținut pe baza conținutului răspunsului.

Prin dezactivarea detectării tipului de conținut, header-ul X-Content-Type-Options poate ajuta la prevenirea atacurilor de confuzie a tipului MIME și la reducerea riscului de activități malitioase. Aceasta este deosebit de important pentru aplicațiile web care permit utilizatorilor să încarce fișiere sau să introducă date, deoarece aceste aplicații pot fi mai vulnerabile la acest tip de atac.

În general, header-ul X-Content-Type-Options este o caracteristică importantă de securitate care ar trebui implementată de toate aplicațiile web pentru a ajuta la protejarea împotriva atacurilor de confuzie a tipului MIME și pentru a îmbunătăți securitatea în general.

Remediere:

  1. Adăugați în VirtualHost următoarea linie:
    Header always set X-Content-Type-Options "nosniff"
  2. Restartați serverul web

http response headersheadere de raspunssecurity headershttp security headerscybersecurityweb applications
Iulian Băncău

Iulian Băncău · Security Engineer

15-05-2023 · Citire în 7 min.

Cuprins


Newsletter

Abonează-te la newsletter-ul nostru pentru a te informa despre noutățile din CyberSecurity. Te poți dezabona oricând.

Mai mult decât CyberSecurity

Oferim o varietate de servicii pentru a ajuta companiile să fie pregătite de confruntări cu atacuri cibernetice reale.

Contactează-ne