Securitate Website, Security Headers

Articolul "Securitate Website, Security Headers", a fost scris de , în data de

Securitate Website, Security Headers, securitate cibernetică

Securitate Website, Security Headers, securitate cibernetică și moduri de testare. Viața noastră de zi cu zi, vitalitatea economică și securitatea națională depind de un ciberspațiu stabil, sigur și rezistent.

Spațiul cibernetic și infrastructura sa de bază sunt vulnerabile la o gamă largă de riscuri, atât din cauza amenințărilor fizice, cât și a riscurilor cibernetice. Actorii cibernetici și statele naționale exploatează vulnerabilități pentru a fura informații și bani.

Ei dezvoltă capacități și software de a perturba, distruge sau pentru a amenința furnizarea de servicii esențiale. Compania noastră specializată în securitate website, are specialiști care vă pot apăra de orice atac cibernetic.

Compania noastră de optimizare SEO, oferă soluții de apărare împotriva atacurilor cibernetice și lucrează cu software de ultimă generație. Instrumentele de securitate cibernetică implementate în website, reduc și desființează orice model de atac.

Protejarea oricărui model de website

Evităm incidentele și avem capacități de evaluare pentru a proteja orice model de website. Securizăm operațiunile esențiale ale departamentelor și agențiilor partenere.

Serviciile de securitate website sunt concepute pentru a atenua pierderile cauzate de o varietate de incidente cibernetice. Acestea includ încălcări de date, întreruperi de afaceri și daune în rețea.

O dezvoltare robustă a asigurărilor în materie de securitate cibernetică ar putea contribui la reducerea numărului de atacuri cibernetice de succes.

Securitate Website, implementări tehnice de bază

X-Frame-Options – această opțiune spune browserului dacă doriți să permiteți încadrarea site-ului dvs. sau nu. Prin împiedicarea unui browser să încadreze website-ul dvs., vă puteți apăra împotriva atacurilor precum clickjacking.

Referrer-Policy, Informații de bază

Referrer-Policy este un antet de securitate website, care poate (și ar trebui practic), inclus în comunicarea de pe serverul website-ului dvs. către un client.

Referrer-Policy spune browser-ului web cum să gestioneze informațiile de referire care sunt trimise către website-uri atunci când un utilizator face clic pe un link care duce la o altă pagină sau site web.

Referrer-Policy poate fi configurată pentru ca browserul să nu informeze despre website-ul de destinație. A avea un set de politici este o bună practică. Politica poate fi setată prin mai multe moduri, inclusiv în codul website-ului (PHP, etc).

Dacă nu ați mai auzit de aceste anteturi, probabil că nu le aveți activate. Nu sunt automate, deși este posibil să fi fost incluse în aplicațiile web pe care le-ați instalat (WordPress, Joomla, etc.).

O modalitate rapidă de verificare este să accesați https://securityheaders.com/ și să faceți o scanare a website-ului dvs. Puteți verifica, de asemenea, consola pentru dezvoltatori a browserului FireFox. Iată un exemplu:

Referrer-Policy

Strict Transport Security

Dacă un website acceptă o conexiune prin HTTP și redirecționări către HTTPS, vizitatorii pot comunica inițial cu versiunea necriptată a website-ului, înainte de a fi redirecționat. Dacă, de exemplu, vizitatorul accesează http://www.upseo.ro/ sau chiar doar upseo.ro, website-ul ar trebui să răspundă doar cu URL-ul https://upseo.ro.

Acest lucru creează o oportunitate pentru un atac. Redirectarea ar putea fi exploatată pentru a direcționa vizitatorii către un website rău intenționat în locul versiunii sigure a website-ului inițial.

Antetul HTTP Strict Transport Security, informează browserul că nu ar trebui să încarce niciodată un website folosind HTTP. El trebuie să convertească automat toate încercările de acces la website folosind solicitări HTTP în HTTPS.

Notă: Antetul Strict-Transport-Security este ignorat de browser atunci când website-ul dvs. este accesat folosind HTTP. Acest lucru se datorează faptului că un atacator poate intercepta conexiunile HTTP și injecta antetul sau îl poate elimina.

Când website-ul dvs. este accesat prin HTTPS fără erori de certificare, browserul știe că website-ul dvs. este capabil să afișeze HTTPS și va onora antetul Strict-Transport-Security.

X-Content-Type-Options

X-Content-Type-Options este un marker utilizat de server pentru a indica faptul că tipurile MIME publicizate în anteturile Content-Type, nu trebuie schimbate și urmate.

Aceasta permite renunțarea la „adulmecarea” de tip MIME sau, cu alte cuvinte, este o modalitate de a spune că webmasterii știu ce fac când se discută despre securitate website.

Acest antet a fost introdus de Microsoft în IE 8, ca o modalitate pentru ca webmasterii să blocheze „adulmecarea” de conținut. Aceasta ar putea transforma tipurile MIME neexecutabile în tipuri MIME executabile.

De atunci, alte browsere au introdus X-Content-Type-Options, chiar dacă algoritmii lor MIME au fost mai puțin agresivi.

Content Security Policy

Content Security Policy (CSP), este o modalitate de a specifica selectiv ce conținut trebuie încărcat în aplicațiile web. Acest lucru se poate face prin listarea în ordine a unor căi specifice, folosind „nonces” sau „hashes”.

Cum funcționează Content Security Policy? Ca dezvoltator, puteți specifica Content Security Policy printr-un antet de răspuns HTTP numit Content-Security-Policy. Problemele de securitate website, nu se rezolvă prea ușor.

Apoi, un browser web care acceptă CSP, cum ar fi Chrome sau Firefox, analizează informațiile din antet și stabilește ce surse sunt de încredere sau nu, pe baza instrucțiunilor trimise în antet.

Aceasta este practic o abordare legală care poate consta din instrucțiuni precum self (care permite scripturi inline), domenii specifice, nonces sau hashes care trebuie să fie prezente și valabile pentru a fi încărcat conținutul.

Ce tipuri de vulnerabilități ale aplicațiilor web poate preveni CSP?

CSP poate preveni vulnerabilitățile de scripturi încrucișate, clickjacking, probleme de securitate website a conținutului mixt, declasarea protocolului și orice alt tip de injecție de cod care este rezultatul injectării de conținut nedorit într-o resursă de încredere.

Mai jos sunt câteva exemple de bază ale diferitelor metode pe care le puteți utiliza pentru a implementa Politica de securitate a conținutului în aplicațiile dvs. web:

  • default-src: Definiți politica de încărcare pentru toate tipurile de resurse, în cazul în care o directivă dedicată tipului de resursă nu este definită
  • script-src: definește ce scripturi poate executa resursa protejată,
  • object-src: definește de unde resursa protejată poate încărca pluginuri,
  • style-src: definește ce stiluri (CSS) aplică utilizatorul resursei protejate,
  • img-src: definește locul în care resursa protejată poate încărca imagini,
  • media-src: definește locul în care resursa protejată poate încărca video și audio,
  • frame-src: definește locul în care resursa protejată poate încadra cadre,
  • font-src: definește de unde resursa protejată poate încărca fonturi,
  • connect-src: definește care URL-urile pot fi încărcate de resursa protejată folosind interfețe de script,
  • form-action: definiți URI-urile care pot fi utilizate ca acțiune a elementelor de formă HTML,
  • sandbox: specifică o politică HTML sandbox, pe care agentul utilizator o aplică resursei protejate,
  • script-nonce: definiți execuția scriptului necesitând prezența nonce-ului specificat pe elementele de script, pentru securitate website
  • plugin-types: definiți setul de pluginuri care pot fi invocate de resursa protejată, limitând tipurile de resurse care pot fi încorporate,
  • reflect-xss: instruiește un agent utilizator să activeze sau să dezactiveze orice euristică folosită pentru a filtra sau bloca atacurile de scripturi încrucișate reflectate, echivalent cu efectele antetului de protecție X-XSS nestandard,
  • report-uri: Specifică un URI căruia agentul utilizator trimite rapoarte despre încălcarea politicii

Website Security Test, un alt instrument de testare

Test de securitate Web

Site Security Test este un produs gratuit disponibil online, furnizat și operat de ImmuniWeb. Testul de securitate website efectuează următoarele verificări de securitate și confidențialitate:

  • Verificare conformității GDPR referitoare la securitatea aplicațiilor web.
  • Verificare conformității PCI DSS referitoare la securitatea aplicațiilor web.
  • Analiza CMS și a componentelor sale pentru versiuni depășite și vulnerabilități cunoscute publicului.
  • Analiza metodelor HTTP care pot pune în pericol serverul web, aplicația web sau vizitatorii site-ului.

Analiză detaliată (sintaxă, validitate, încredere) a anteturilor de securitate HTTP:

  • Server
  • Strict-Transport-Security (cunoscut și sub denumirea de HSTS, pentru securitate website)
  • X-Frame-Options
  • X-Powered By
  •  X-Content-Type-Options
  • X-XSS-Protection
  • X-ASPNET-Version
  •  Content-Security-Policy (cunoscut ca CSP)
  •  Public-Key-Pins (cunoscut și sub denumirea de HPKP)
  • Access-Control-Allow-Origin
  • Content-Security-Policy-Report-Only
  • Public-Key-Pins-Report-Only
  • Expect-CT
  • Referrer-Policy
  •  Feature-Policy

Alte analize de securitate website la nivel de site și server

  • Analiza bibliotecilor JS modificate și, astfel, potențial dăunătoare.
  • Analiza ViewState pentru configurari greșite și puncte slabe de securitate.
  • Analiza cookie-urilor pentru aplicații web pentru steaguri de securitate.
  • Detectarea prezenței domeniului în diverse liste negre.
  • Detectarea Cryptojacking-ului în codul JS, pentru securitate website
  • Detectarea prezenței WAF.