رؤوس HTTP: كيفية تأمين موقع الويب الخاص بك مع 3 نقرات

آمن نفسك مع HTTPS

في هذه المقالة ، سوف نستكشف استخدام وتنفيذ أهم رؤوس أمان HTTP.
 بالنسبة إلى Specter and Meltdown ، فإن الاستخدام الصحيح لرؤوس HTTP يعد أكثر أهمية من أي وقت مضى - حتى مطور Google Surma نشر إرشادات لمطوري الويب لتأمين المستخدمين من خلال استخدام رؤوس الأمان.
 بعد كل شيء ، لا يعد Specter و Meltdown سيناريوهات الهجوم الوحيدة التي يمكن منعها عن طريق تعيين رأس أمان HTTP الصحيح.

ما هي رؤوس أمان HTTP؟

رأس أمان HTTP X-Content-Type-Options قيد الاستخدام

بروتوكول نقل النص التشعبي (HTTP) ، وخاصة رؤوس استجابة HTTP ، ينقل أجزاء من المعلومات بمجرد طلب موقع ويب (من خلال متصفح) من خادم ويب. تحتوي المعلومات التي يتم إرسالها على رموز أخطاء الحالة وترميز المحتوى وبيانات التعريف وقواعد ذاكرة التخزين المؤقت والمزيد. تم تطوير مجموعة من رؤوس الأمان بواسطة مشروع أمان تطبيق الويب المفتوح (OWASP) لتعليم المتصفحات كيفية التصرف عند التعامل مع بيانات موقعك ومحتواه.

هذا إجراء ضروري ومعقول لمنع مشكلات السلامة. تابع القراءة لمعرفة المزيد حول عمليات الاستغلال المختلفة وكيف يمكنك تأمين موقعك ضد هذه المآثر.

Clickjacking

Clickjacking ، المعروف أيضًا باسم تعويض واجهة المستخدم (UI) أو تصحيح UI ، هي تقنية ، حيث يستخدم المهاجمون طبقات شفافة أو غير شفافة لإثارة نقرات غير مقصودة على عنصر تفاعلي معالج.
 على سبيل المثال ، ينقر المستخدم على زر "إرسال" في نهاية نموذج الاتصال الذي لا يرسل معلومات الاتصال ولكنه يبدأ في تشغيل تعليمات برمجية ضارة في المتصفح. يمكن أن يتراوح الهجوم بين مشاركة وسائط التواصل الاجتماعي غير المقصودة وصولًا إلى الوصول إلى ميكروفون المستخدم وكاميراه عن طريق تغيير إعدادات المكون الإضافي للمتصفح.

X- الإطار ، خيارات HTTP رأس

يتطلب منع Clickjacking المجموعة الصحيحة من رأس HTTP X-Frame-Options. باستخدام DENY يمنع أي مجال من تأطير المحتوى ، بما في ذلك المجال الخاص بك.
 مع SAMEORIGIN ، تسمح لك بعرض الموارد على نطاقك الخاص ، في حين أن ALLOW: FROM متبوعًا بمجال ، يسمح بعرض المحتوى على المجال المحدد.

محرك الأقراص من التنزيلات

يُطلق على تنزيل (وتنفيذ) البرامج غير المرغوب فيها من موقع ويب "التنزيلات من محرك أقراص". يقوم المهاجمون بإخفاء ملف قابل للتنفيذ في مثل style.css. لتقييم نوع محتوى الملف ، يقوم المستعرض بتقييم محتوى المورد. إذا تم الكشف عن ملف قابل للتنفيذ ، يبدأ تلقائيًا في التنزيل والتنفيذ. يمكن أن يفتح هذا الباب الخلفي لأي هجوم في المستقبل ، حيث يمكن للمهاجمين تنفيذ أي رمز على النظام المصاب ، حتى بدون استخدام المتصفح.
 ليس فقط مستعرضات HTTP الاتصالات مفتوحة لهذا الخلل في الأمن ولكن WebSockets ، والتي توفر وسيلة مماثلة ولكن مختلفة لنقل البيانات ، كذلك!

X-Content-Type-Options HTTP-Header

لتأمين المستخدمين من التنزيلات من محرك أقراص ، اضبط رأس HTTP X-Content-Type-Options على nosniff. يجب أن يتم ذلك لأي مورد.
 يؤدي تعيين الخيار إلى منع المتصفح من تحديد نوع المحتوى وتنزيل التعليمات البرمجية الضارة على التوالي.

يجب التأكيد على أهمية عنوان الأمان هذا لأن مطوري Chromium جادلوا بأن nosniff هي واحدة من المهام التي يجب توفرها لتأمين المستخدمين من Meltdown و Specter.

هجمات البرامج النصية عبر المواقع (XSS)

تستخدم هجمات XSS نقاط الضعف في التطبيقات لإدراج تعليمات برمجية ضارة في موقع ويب. يتم تنفيذ هذا الرمز من قبل المتصفح. على سبيل المثال ، يمكن للمهاجم استخدام حقل إدخال لموقع ويب غير آمن لإدراج رمز ، والذي يتم بعد ذلك تقديمه مباشرة على موقع الويب ، بمجرد تقديم النموذج.
 هدف هجمات XSS هو في الغالب جمع البيانات الشخصية الحساسة. من خلال تقديم مثل شفرة JavaScript ، يتم الحصول على ملفات تعريف الارتباط للجلسة لسرقة هوية الضحية.

X-XSS- حماية HTTP- رأس

لإعاقة هجمات XSS ، يوصى باستخدام رأس حماية X-XSS. تشغل التكنولوجيا الموجودة في رأس الأمان هذا متصفح الاستدلال الداخلي لـ XXS. تختلف طرق الاستدلال هذه اختلافًا كبيرًا من مستعرض إلى آخر: يحتوي Chrome على هذا الخيار كإعداد افتراضي بينما يحتاج مدقق XSS الداخلي في Safari إلى التنشيط عن طريق تعيين الرأس. ومع ذلك ، لا يوفر Firefox أي استدلال ، مع أو بدون تعيين الرأس. المحتوى - أمان - سياسة HTTP - رأس

تدبير أمان مهم آخر ضد هجمات XSS هو استخدام رأس محتوى المحتوى الأمني ​​(CSP). تتمثل وظيفة هذا العنوان في تحديد المصادر الصالحة لكل مورد. نظرًا لأن رأس CSP يمكن أن يؤثر على البرامج النصية المضمّنة ، يوصى باستخدام خيار الإبلاغ أولاً (المحتوى - أمان - تقرير - فقط). بمساعدة التقرير ، يمكن الحصول على مجموعة أكثر تدرجًا من القواعد.

الإفصاح عن المعلومات

يمكن لخوادم الويب والمتصفحات الكشف عن معلومات حول أنظمتك عبر رؤوس HTTP. يمكن استغلال ذلك عن طريق التحقق من طراز وإصدار خادم الويب الخاص بك لمهاجمة ثغرة أمنية محددة.
 من ناحية أخرى ، غالبًا ما تكشف المتصفحات عن الكثير من المعلومات عبر رأس الصفحة المرجعية ، والتي يستخدمها المهاجمون أيضًا.

مرجع سياسة HTTP

يمكن تحقيق منع الكشف عن المعلومات باستخدام رأس سياسة الإحالة. ينظم الرأس الأهداف التي يتم إرسال معلومات الإحالة إليها وكمية المعلومات التي يتم نقلها. عن طريق تعيين الرأس إلى عدم المرجع ، لا يتم نقل أي معلومات على الإطلاق. يؤدي استخدام no-referrer-when-downgrade إلى إرسال جميع المعلومات بشكل عام ، باستثناء أن الموقع المستهدف أقل أمانًا. مثال على ذلك هو التواصل من HTTPS إلى HTTP.

يقدم رأس سياسة الإحالة الكثير من الخيارات الموثقة جيدًا والمتاحة للجمهور على موقع Scott Helme على الويب.

رأس الأمن في wao.io

كما قرأت ، هناك العديد من رؤوس الأمان والكثير من الخيارات المختلفة لاستخدامها. يتطلب تحديد الرؤوس بشكل صحيح الاستخدام المتسق للرؤوس المختلفة عبر كل موقع من مواقع الويب الخاصة بك.
 لتقليل العمل اليدوي ودعم الأمن حول الويب ، توفر wao.io إمكانية تبديل رؤوس الأمان بنقرة بسيطة.

تبديل بسيط لتأمين موقع الويب الخاص بك

يمكن لمواقع الويب التي يتم وضعها في قاعة العار بواسطة securityheaders.io ، وهو محلل لرأس الأمان ، رفع درجة هذه النتائج إلى نتيجة "أ" باستخدام wao.io. يعمل خارج الصندوق دون أي تغييرات في التعليمات البرمجية اليدوية. تأمين موقع الويب الخاص بك في 3 نقرات - الاشتراك ، إضافة موقع ويب وتبديل رؤوس الأمن.

اشترك مجانا لتأمين موقع الويب الخاص بك الآن!

تمت كتابة هذه المقالة في الأصل ونشرها بواسطة Verena W. وترجمها Heinrich R.

نشرت أصلا في blog.wao.io