Hvað er Content Security Policy (CSP) og hvers vegna ættu peneters að vera sama?

Efnisöryggisstefna er öryggiskerfi við vafra sem stjórnar hvaða auðlindum vefsíða getur hlaðið, sem hjálpar til við að koma í veg fyrir XSS, gagnainnspýtingu og smelliárásir. Pentesters verða að skilja CSP vegna þess að það er ein af algengustu rangstillingum öryggisstýringanna - rannsóknir sýna að næstum 94% af settum stefnum innihalda hagnýtanlega veikleika. Að ná tökum á grundvallaratriðum CSP

Hverjar eru algengustu rangstillingar CSP sem notendur finna?

Algengustu rangstillingar CSP fela í sér að nota unsafe-inline og unsafe-eval tilskipanir, of leyfilegar algildisheimildir, vantar frame-forfeður tilskipanir sem gera clickjacking kleift og hvítlistun á heilu CDN lénunum sem hýsa árásarstýrt efni. Pentesters ættu einnig að leita að tilskipunum sem vantar eins og base-uri og form-action, sem hægt er að nýta fyrir vefveiðar og gagnasöfnun, jafnvel þ

Hvernig geta fyrirtæki verndað vefforrit sín með réttum CSP hausum?

Fyrirtæki ættu að byrja með strangan CSP sem notar leyfislista sem ekki er byggt á eða kjötkássa sem byggir á leyfisveitingu í stað lénahvítlista. Dreifðu fyrst í skýrsluham til að bera kennsl á brot fyrir framfylgd. Pallar eins og Mewayz, 207 eininga viðskiptastýrikerfi sem byrjar á $19/mán., hjálpa teymum að stjórna vefviðveru sinni á öruggan hátt á sama tíma og þau fylgja nútíma bestu starfsven

Hvaða verkfæri nota pentesters til að meta skilvirkni CSP?

Pentesters nota venjulega CSP Evaluator Google, vafraþróunarverkfæri og Burp Suite viðbætur til að greina CSP hausa fyrir veikleika. Handvirkar prófanir eru áfram nauðsynlegar - sjálfvirk verkfæri sakna samhengisháðra framhjáhlaupa eins og JSONP endapunkta og innspýtingar sniðmáts á hvítlista léna. Ítarlegt mat sameinar sjálfvirka skönnun með handvirkri endurskoðun á hverri tilskipun gegn þekktum

CSP fyrir Pentesters: Skilningur á grundvallaratriðum

Af hverju allir Pentester þurfa að ná tökum á öryggisstefnu um efni

Efnisöryggisstefna (CSP) er orðin ein mikilvægasta varnaraðferðin á vafranum gegn forskriftum á milli vefsvæða (XSS), innspýtingar gagna og árásum á smelli. Samt sem áður eru CSP hausar enn einn af algengustu rangstillingu - og misskilnuðu - öryggisstýringunum í tengslum við skarpskyggniprófanir. Í 2024 rannsókn sem greindi yfir 1 milljón vefsíður kom í ljós að aðeins 12,8% notuðu CSP hausa yfirleitt og af þeim innihéldu næstum 94% að minnsta kosti einn veikleika í stefnu sem hægt var að nýta. Fyrir pentesters er skilningur á CSP ekki valfrjáls – það er munurinn á yfirborðsmati og skýrslu sem í raun styrkir öryggisstöðu viðskiptavinar.

Hvort sem þú ert að gera úttekt á vefforritum, villufjárveiðar eða byggja upp öryggi í viðskiptavettvang sem meðhöndlar viðkvæm gögn viðskiptavina, þá er CSP þekking grundvallaratriði. Þessi handbók greinir frá því hvað CSP er, hvernig það virkar undir hettunni, hvar það mistekst og hvernig penetester geta kerfisbundið metið og framhjá veika stefnu.

Hvaða öryggisstefna um efni gerir í raun og veru

Í kjarnanum er CSP yfirlýsing um öryggiskerfi sem er afhent í gegnum HTTP svarhaus (eða sjaldnar, merki). Það leiðbeinir vafranum hvaða efnisuppsprettur - forskriftir, stílar, myndir, leturgerðir, rammar og fleira - er heimilt að hlaða og framkvæma á tiltekinni síðu. Þegar tilföng brýtur í bága við stefnuna lokar vafrinn henni og tilkynnir brotið mögulega til tiltekins endapunkts.

Upphaflega hvatningin á bak við CSP var að draga úr XSS árásum. Hefðbundnar XSS varnir eins og inntakshreinsun og úttakskóðun eru áhrifaríkar en brothættar - eitt samhengi sem gleymdist eða kóðunvilla getur endurvakið varnarleysið. CSP bætir við ítarlegu varnarlagi: jafnvel þótt árásarmaður dæli illgjarnri skriftumerki inn í DOM, kemur rétt stillt regla í veg fyrir að vafrinn geti keyrt það.

CSP starfar á hvítlistalíkani. Frekar en að reyna að loka á þekkt slæmt efni, skilgreinir það hvað er beinlínis leyfilegt. Öllu öðru er sjálfgefið hafnað. Þessi snúning öryggislíkans er öflug í orði, en í reynd er það alræmt erfitt að viðhalda ströngum reglum í flóknum vefforritum – sérstaklega kerfum sem stjórna tugum samþættra eininga eins og CRM, reikningagerð, greiningar- og bókunarkerfi.

Líffærafræði CSP-hauss: Tilskipanir og heimildir

CSP haus er samsettur úr tilskipunum, sem hver stjórnar tiltekinni tegund auðlindar. Skilningur á þessum tilskipunum er nauðsynlegur fyrir alla pentester sem meta stefnu markmiðs. Mikilvægustu tilskipanirnar eru meðal annars default-src (afbaka fyrir hvaða tilskipun sem er ekki sérstaklega stillt), script-src (JavaScript execution), style-src (CSS), img-src (myndir), connect-src,s, WebS, frame-src (innfelldir iframes) og object-src (viðbætur eins og Flash eða Java smáforrit).

Hver tilskipun samþykkir eina eða fleiri uppspretta orðatiltæki sem skilgreina leyfilegan uppruna. Þetta eru allt frá sérstökum hýsilheitum (https://cdn.example.com) til víðtækari leitarorða:

'sjálf' — leyfir tilföng frá sama uppruna og skjalið
'engin' — lokar á allar auðlindir af þeirri gerð
'unsafe-inline' — leyfir innbyggða forskriftir eða stíla (hlutleysir á áhrifaríkan hátt XSS vernd)
'unsafe-eval' — leyfir eval(), setTimeout(streng) og svipaða dynamic kóða keyrslu
'nonce-{random}' — leyfir tilteknar innbyggðar forskriftir merktar með samsvarandi dulmálslausn
'strict-dynamic' — treystir skriftum sem hlaðnar eru af skriftum sem þegar eru treystar, hunsar leyfislista hýsingaraðila
gögn: — leyfir gagna-URI sem innihaldsgjafa

Raunverulegur CSP haus gæti litið svona út: Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.jsdelivr.net 'nonce-abc123'; style-src 'self' 'óöruggt-inni'; img-src *; object-src 'enginn'. Sem pentester er starf þitt að lesa þessa stefnu og finna strax hvar hún er sterk, hvar hún er veik og hvar hún er nothæf.

Algengar CSP rangstillingar sem Pentesters ættu að miða á

Bilið á milli þess að nota CSP haus og nota virkan CSP haus er gríðarlegt. Í reynd innihalda flestar stefnur veikleika sem koma fram vegna þæginda fyrir þróunaraðila, samþættingu þriðja aðila eða einföldum misskilningi. Meðan á mati stendur, ættu peneters kerfisbundið að athuga hvort þessar algengu bilanir séu til staðar.

Hrikalegasta rangstillingin er tilvist 'unsafe-inline' í script-src tilskipuninni. Þetta eina leitarorð gerir allan and-XSS ávinninginn af CSP í rauninni gagnslaus, vegna þess að það gerir vafranum kleift að keyra hvaða innbyggða

CSP fyrir Pentesters: Skilningur á grundvallaratriðum

Af hverju allir Pentester þurfa að ná tökum á öryggisstefnu um efni

Hvaða öryggisstefna um efni gerir í raun og veru

Líffærafræði CSP-hauss: Tilskipanir og heimildir

Algengar CSP rangstillingar sem Pentesters ættu að miða á

Try Mewayz — Live

Wait — don't leave empty-handed!

Check your inbox!

CSP fyrir Pentesters: Skilningur á grundvallaratriðum

Af hverju allir Pentester þurfa að ná tökum á öryggisstefnu um efni

Hvaða öryggisstefna um efni gerir í raun og veru

Líffærafræði CSP-hauss: Tilskipanir og heimildir

Algengar CSP rangstillingar sem Pentesters ættu að miða á

Change Language

Contact Us

Wait — don't leave empty-handed!

Check your inbox!