CSP for Pentesters: Az alapok megértése

Miért kell minden Pentesternek elsajátítania a tartalombiztonsági szabályzatot?

A Content Security Policy (CSP) az egyik legkritikusabb böngészőoldali védelmi mechanizmus lett a cross-site scripting (XSS), adatinjektálás és kattintástörés elleni támadások ellen. Ennek ellenére a behatolástesztelés során a CSP-fejlécek továbbra is az egyik leggyakrabban rosszul konfigurált – és félreértett – biztonsági ellenőrzés. Egy 2024-es tanulmány, amely több mint 1 millió webhelyet elemzett, megállapította, hogy csak 12,8%-uk telepített CSP-fejlécet egyáltalán, és ezek közel 94%-a tartalmazott legalább egy kihasználható politikai gyengeséget. A tesztelők számára a CSP megértése nem kötelező – ez a különbség a felszíni szintű értékelés és egy olyan jelentés között, amely valóban megerősíti az ügyfél biztonsági helyzetét.

Legyen szó webalkalmazás-értékelésről, hibavadászatról vagy a biztonságról egy olyan üzleti platformról, amely érzékeny ügyféladatokat kezel, a CSP-ismeretek alapvető fontosságúak. Ez az útmutató leírja, mi az a CSP, hogyan működik a motorháztető alatt, hol hibásodik meg, és hogyan tudják szisztematikusan értékelni és megkerülni a gyenge házirendeket a pentesterek.

Mit tesz a tartalombiztonsági szabályzat valójában

Lényegében a CSP egy deklaratív biztonsági mechanizmus, amelyet HTTP válaszfejlécen (vagy ritkábban címkén) keresztül szállítanak. Ez utasítja a böngészőt, hogy mely tartalomforrások – szkriptek, stílusok, képek, betűtípusok, keretek és egyebek – tölthetők be és futhatnak le egy adott oldalon. Ha egy erőforrás megsérti a házirendet, a böngésző blokkolja azt, és opcionálisan jelenti a megsértést egy meghatározott végpontnak.

A CSP eredeti motivációja az XSS-támadások mérséklése volt. A hagyományos XSS-védelmek, például a bemeneti fertőtlenítés és a kimeneti kódolás hatékonyak, de törékenyek – egyetlen kihagyott kontextus vagy kódolási hiba újra behozhatja a sebezhetőséget. A CSP mélyreható védelmi réteget ad hozzá: még ha egy támadó rosszindulatú szkriptcímkét fecskendez a DOM-ba, a megfelelően konfigurált házirend megakadályozza, hogy a böngésző végrehajtsa azt.

A CSP engedélyezőlistás modellen működik. Ahelyett, hogy megpróbálná blokkolni az ismerten rossz tartalmat, azt határozza meg, hogy mi az, ami kifejezetten engedélyezett. Minden más alapértelmezés szerint le van tiltva. A biztonsági modell ilyen inverziója elméletileg erőteljes, de a gyakorlatban a szigorú szabályzatok fenntartása az összetett webalkalmazásokban – különösen a több tucat integrált modult, például CRM-et, számlázást, elemzést és foglalási rendszereket kezelő platformokon – köztudottan nehéz.

A CSP fejléc anatómiája: Irányelvek és források

A CSP-fejléc direktívákból áll, amelyek mindegyike egy adott erőforrástípust vezérel. Ezeknek az irányelveknek a megértése nélkülözhetetlen minden olyan résztvevő számára, aki értékeli a célpont politikáját. A legfontosabb direktívák közé tartozik a default-src (a külön nem beállított direktívák tartaléka), a script-src (JavaScript-végrehajtás), a style-src (CSS), az img-src (képek), a connect-src (XHR, Fetch, WebSocket kapcsolatok), a frame-src (beágyazott iframe-ek) és az objektum-src (pluginok, például Flash vagy Java-alkalmazások).

Minden direktíva elfogad egy vagy több forráskifejezést, amelyek meghatározzák a megengedett eredetet. Ezek a konkrét gazdagépnevektől (https://cdn.example.com) a tágabb kulcsszavakig terjednek:

„self” – a dokumentummal azonos eredetű erőforrásokat engedélyez

„nincs” – blokkolja az összes ilyen típusú erőforrást

„nem biztonságos inline” – engedélyezi a soron belüli szkripteket vagy stílusokat (hatékonyan semlegesíti az XSS-védelmet)

'unsafe-eval' – lehetővé teszi az eval(), setTimeout(string) és hasonló dinamikus kódvégrehajtást

'nonce-{random}' – lehetővé teszi a megfelelő kriptográfiai nonce címkével ellátott soron belüli szkripteket

„szigorú dinamikus” – megbízik a már megbízható szkriptek által betöltött szkriptekben, figyelmen kívül hagyva a gazdagép alapú engedélyezési listákat

adatok: – adat-URI-kat engedélyez tartalomforrásként

Egy valós CSP-fejléc így nézhet ki: Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.jsdelivr.net 'nonce-abc123'; style-src 'self' 'nem biztonságos-inline'; img-src *; object-src 'nincs'. Pentesterként az Ön feladata, hogy elolvassa ezt a szabályzatot, és azonnal azonosítsa, hol erős, hol gyenge, és hol hasznosítható.

Gyakori CSP-hibás konfigurációk Pentesters Shoul

Frequently Asked Questions

What is Content Security Policy (CSP) and why should pentesters care?

Content Security Policy is a browser-side security mechanism that controls which resources a webpage can load, helping prevent XSS, data injection, and clickjacking attacks. Pentesters must understand CSP because it is one of the most frequently misconfigured security controls — studies show nearly 94% of deployed policies contain exploitable weaknesses. Mastering CSP fundamentals allows pentesters to identify critical vulnerabilities that automated scanners often miss entirely.

What are the most common CSP misconfigurations pentesters find?

The most common CSP misconfigurations include using unsafe-inline and unsafe-eval directives, overly permissive wildcard sources, missing frame-ancestors directives that enable clickjacking, and whitelisting entire CDN domains that host attacker-controllable content. Pentesters should also look for missing directives like base-uri and form-action, which can be leveraged for phishing and data exfiltration even when script controls appear strict.

How can businesses protect their web applications with proper CSP headers?

Businesses should start with a strict CSP using nonce-based or hash-based script allowlisting instead of domain whitelists. Deploy in report-only mode first to identify breakages before enforcement. Platforms like Mewayz, a 207-module business OS starting at $19/mo, help teams manage their web presence securely while following modern security best practices across all digital touchpoints.

What tools do pentesters use to evaluate CSP effectiveness?

Pentesters commonly use Google's CSP Evaluator, browser developer tools, and Burp Suite extensions to analyze CSP headers for weaknesses. Manual testing remains essential — automated tools miss context-dependent bypasses like JSONP endpoints and Angular template injection on whitelisted domains. A thorough assessment combines automated scanning with manual review of each directive against known bypass techniques and the application's specific technology stack.

Related Posts

• HN megjelenítése: Sgai – Célvezérelt többügynök szoftverfejlesztő (GOAL.md → működő kód)
• Túlzott mértékű tokenhasználat a Claude Code-ban
• A kardiorespiratorikus fitnesz alacsonyabb haraggal és szorongással jár
• A telefonok beállítása egy rémálom