Các trường quan trọng trong tiêu đề HTTP từ góc độ bảo mật

7

Các trường quan trọng trong tiêu đề HTTP từ góc độ bảo mật là gì? Tôi đã cố gắng để google nó nhưng không thể tìm thấy. Bất cứ ai có thể cung cấp cho tôi một liên kết để đọc về nó? Cảm ơn trước.

web-development  security  http-headers 
rsmahanti
nguồn

Câu trả lời:

1

Các trường quan trọng trong tiêu đề HTTP từ góc độ bảo mật là gì?

Khi nói đến bảo mật, phản ứng an toàn nhất là xem xét mọi thứ trong khi ưu tiên cho những thứ mà kẻ tấn công được biết là khai thác.

Các tiêu đề mà máy chủ của bạn trả về theo yêu cầu rất quan trọng đối với những kẻ tấn công ( đặc biệt là các trường tiết lộ thông tin phần mềm / phiên bản về máy chủ web của bạn hoặc cho phép kẻ tấn công lập hồ sơ máy chủ). (... và +1 cho các chỉ thị mod_header của John Conde về điểm này - chắc chắn không gây hại gì khi nói với các trình duyệt máy khách thực thi các chính sách CSRF / XSS)

Các tiêu đề mà máy chủ web và ứng dụng của bạn chấp nhận với một yêu cầu (nghĩa là bất kỳ thứ gì mà máy chủ web hoặc ứng dụng của bạn phải phân tích) đều quan trọng đối với bạn bởi vì (a) máy chủ web của bạn có thể sẽ cố gắng phân tích tất cả chúng - có thể cung cấp cho kẻ tấn công có nghĩa là để thực hiện một lỗi tràn bộ đệm hoặc tấn công Slowloris - và (b) ứng dụng của bạn cần vệ sinh và / hoặc xác nhận (như trong trường hợp cookie có thể đã được sửa đổi) bất cứ thứ gì được sử dụng làm đầu vào.

danlefree
nguồn
Cookies có thể khá lớn (lên tới 1,2 MB), nhưng tôi nghĩ rằng các attcks chậm và tràn bộ đệm trong các tiêu đề là mục đích của các nhà phát triển máy chủ web. Tôi cho rằng ứng dụng của bạn có thể nhận được lỗi tràn bộ đệm từ phân tích dữ liệu tiêu đề, nhưng hầu hết các ngôn ngữ web là ngôn ngữ cấp cao không dễ bị ảnh hưởng. Điều đó không có nghĩa là PHP hoặc thư viện PHP có thể không có lỗ hổng tràn bộ đệm. Nhưng giữ cho mọi thứ được cập nhật là tất cả những gì bạn thực sự có thể làm ở đây.
Lèse majesté
Nếu bạn đang quan tâm đến việc tìm hiểu thêm về bộ đệm tràn khi họ áp dụng cho các ứng dụng web, đọc PDF này: adventuresinsecurity.com/Papers/WebAppSecurityBuffOverflows.pdf
về tội khi quân hoàng
1
@ Lèse majesté - Bạn hoàn toàn chính xác - việc khai thác ở cấp độ giao thức thường được hướng vào trình nền của máy chủ web thường nằm ngoài phạm vi của các nhà phát triển web, những người không làm việc toàn bộ ... mặc dù điều đó chắc chắn không thể làm tổn thương các nhà phát triển web để cảm nhận về "bức tranh lớn hơn" về bảo mật - tức là "đây là lý do tại sao bạn không thể tin tưởng các biến được lưu trữ trong cookie"
danlefree
7

Đây là một số tôi sử dụng:

# Don't allow any pages to be framed by my site or any others
# Defends against Clickjacking!
Header set X-Frame-Options DENY

# Only allow JavaScript from the same domain to be run.
# Also, don't allow inline JavaScript to run. 
Header set X-Content-Security-Policy "allow 'self';"

# Turns on IE 8 XSS prevention tools
Header set X-XSS-Protection "1; mode=block"

# Don't send out the Server header. This way no one knows what 
# version of Apache and PHP I am using
Header unset Server

Mực hữu ích:

https://developer.mozilla.org/en/the_x-frame-options_response_header https://wiki.mozilla.org/Security/CSP/Specification http://www.google.com/support/forum/p/Web% 20 Tìm kiếm / chủ đề? Tid = 187e02e745a50a77 & hl = en

John Conde
nguồn
Những tiêu đề cũng có thể có liên quan trong trường hợp bạn làm muốn cho phép một số cuộc gọi AJAX cross-domain: nczonline.net/blog/2010/05/25/...
về tội khi quân Majesté
Lưu ý rằng có một số dịch vụ web không độc hại hiển thị trang web của bạn trong IFRAME. Cài đặt X-Frame-Optionslà một vấn đề với các dịch vụ. Xem phần sau: webmasters.stackexchange.com/a/31289/9876
chụp
2

Bạn cũng muốn đảm bảo các tiêu đề cookie quan trọng được gửi với HttpOnlytùy chọn.

http://www.owasp.org/index.php/HttpOnly

Rõ ràng, có nhiều cách để buộc điều này ra bên ngoài bằng ModSecurity , và dĩ nhiên, bạn có thể (và nên) đặt nó từ bên trong mã ứng dụng đặt cookie.

Jeff Atwood
nguồn
Tôi hoàn toàn quên cookie được bao gồm trong tiêu đề của yêu cầu
John Conde
Jeff Atwood
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.