O.Arch 9: Unterschied zwischen den Versionen
D.hack (Diskussion | Beiträge) |
D.hack (Diskussion | Beiträge) |
||
| Zeile 24: | Zeile 24: | ||
# [https://www.w3.org/TR/permissions-policy/ Permission-Policy] | # [https://www.w3.org/TR/permissions-policy/ Permission-Policy] | ||
# [https://www.ibm.com/docs/de/control-desk/7.6.1.x?topic=checklist-vulnerability-web-browser-xss-protection X-XSS-Protection] | # [https://www.ibm.com/docs/de/control-desk/7.6.1.x?topic=checklist-vulnerability-web-browser-xss-protection X-XSS-Protection] | ||
;Content Security Policy (CSP) | |||
:CSP legt fest, welche Ressourcen auf einer Seite geladen werden dürfen und hilft so, Cross-Site-Scripting (XSS)-Angriffe zu verhindern. | |||
<syntaxhighlight lang="bash" style="border: 3px dashed blue;"> | |||
# Beispielkonfiguration eines Apache-Servers zu Verwendung von CSP | |||
Content-Security-Policy: default-src 'self'; script-src 'self' https://apis.google.com | |||
</syntaxhighlight> | |||
<br /> | |||
;X-Content-Header | |||
:Die X-Content-Type-Options sind ein Sicherheitsheader, der den Browser anweist, den MIME-Typ von Ressourcen nicht zu erraten und ihnen stattdessen zu vertrauen, wie er vom Server bereitgestellt wird. | |||
<syntaxhighlight lang="bash" style="border: 3px dashed blue;"> | |||
# Beispielkonfiguration eines Apache-Servers zu Verwendung von X-Content-Header | |||
X-Content-Type-Options: nosniff | |||
</syntaxhighlight> | |||
<br /> | |||
;Referrer-Policy | |||
:Der Referrer-Policy-Header legt die Richtlinie für das Übermitteln von Referrern fest, wenn der Benutzer von einer anderen Website aus auf Ihre Seite zugreift. | |||
<syntaxhighlight lang="bash" style="border: 3px dashed blue;"> | |||
# Beispielkonfiguration eines Apache-Servers zu Verwendung von Referrer-Policy | |||
Referrer-Policy: strict-origin-when-cross-origin | |||
</syntaxhighlight> | |||
<br /> | |||
;HTTP Strict Transport Security (HSTS): | ;HTTP Strict Transport Security (HSTS): | ||
| Zeile 33: | Zeile 57: | ||
<br /> | <br /> | ||
; | ;X-Frame-Option | ||
: | :X-Frame-Options verhindert das Laden der Webseite in einem <frame>, <iframe> oder <object> und schützt so vor Clickjacking-Angriffen. | ||
<syntaxhighlight lang="bash" style="border: 3px dashed blue;"> | |||
# Beispielkonfiguration eines Apache-Servers zu Verwendung von x-Frame-Options | |||
X-Frame-Options: DENY | |||
</syntaxhighlight> | |||
<br /> | |||
;Permission-Policy | |||
:Die Permission-Policy legt die Berechtigungen fest, die eine Webseite anfordern kann. | |||
<syntaxhighlight lang="bash" style="border: 3px dashed blue;"> | <syntaxhighlight lang="bash" style="border: 3px dashed blue;"> | ||
# Beispielkonfiguration eines Apache-Servers zu Verwendung von | # Beispielkonfiguration eines Apache-Servers zu Verwendung von Permission-Policy | ||
Permissions-Policy: geolocation=(), microphone=() | |||
</syntaxhighlight> | </syntaxhighlight> | ||
<br /> | <br /> | ||
;X- | ;X-XSS-Protection | ||
:X- | :Der X-XSS-Protection-Header aktiviert den XSS-Schutz im Browser und verhindert das Laden einer Seite, wenn ein XSS-Angriff erkannt wird. Der Modus block verhindert, dass der Browser versucht, die Seite zu reparieren, wenn ein XSS-Angriff festgestellt wird. | ||
<syntaxhighlight lang="bash" style="border: 3px dashed blue;"> | <syntaxhighlight lang="bash" style="border: 3px dashed blue;"> | ||
# Beispielkonfiguration eines Apache-Servers zu Verwendung von | # Beispielkonfiguration eines Apache-Servers zu Verwendung von X-XSS-Protection | ||
X- | X-XSS-Protection: 1; mode=block | ||
</syntaxhighlight> | </syntaxhighlight> | ||
<br /> | |||
== Weblinks == | == Weblinks == | ||
Version vom 15. Mai 2024, 10:45 Uhr
Beschreibung
Die Web-Anwendung SOLL HTTP-Server-Header nutzen, die dem aktuellen Stand der Technik entsprechen und die Sicherheit der Anwendung erhöhen. Dazu gehören unter anderem HTTP Strict Transport Security (HSTS), Content Security Policy (CSP) und X-Frame-Options.
Kurzfassung
Verwendung von dem Stand der Technik entsprechenden HTTP-Server-Headern.
Anmerkungen
Prüftiefe
- CHECK
Der Evaluator prüft, ob entsprechende HTTP-Server-Header verwendet werden. Falls keine dem Stand der Technik entsprechenden HTTP-Server-Header verwendet werden, ist dies in der Risikobewertung zu berücksichtigen.
Lösungsansätze
Implementierung
- Security Headers
- Security Headers sind HTTP-Header, die auf Webseiten und Webanwendungen verwendet werden, um die Sicherheit und den Schutz vor verschiedenen Arten von Angriffen und Sicherheitslücken zu verbessern. Sie bieten eine wichtige Sicherheitsebene, um Benutzer und Daten vor Bedrohungen zu schützen [1].
Bekannte Sicherheitsheader sind beispielsweise:
- Content Security Policy (CSP)
- X-Content-Type-Options
- Referrer-Policy
- Strict-Transport-Security (HSTS)
- X-Frame-Options
- Permission-Policy
- X-XSS-Protection
- Content Security Policy (CSP)
- CSP legt fest, welche Ressourcen auf einer Seite geladen werden dürfen und hilft so, Cross-Site-Scripting (XSS)-Angriffe zu verhindern.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von CSP
Content-Security-Policy: default-src 'self'; script-src 'self' https://apis.google.com
- X-Content-Header
- Die X-Content-Type-Options sind ein Sicherheitsheader, der den Browser anweist, den MIME-Typ von Ressourcen nicht zu erraten und ihnen stattdessen zu vertrauen, wie er vom Server bereitgestellt wird.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von X-Content-Header
X-Content-Type-Options: nosniff
- Referrer-Policy
- Der Referrer-Policy-Header legt die Richtlinie für das Übermitteln von Referrern fest, wenn der Benutzer von einer anderen Website aus auf Ihre Seite zugreift.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von Referrer-Policy
Referrer-Policy: strict-origin-when-cross-origin
- HTTP Strict Transport Security (HSTS)
- HSTS stellt sicher, dass die Webanwendung ausschließlich über eine verschlüsselte Verbindung (HTTPS) erreichbar ist und schützt somit vor man-in-the-middle-Angriffen.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von HSTS
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
- X-Frame-Option
- X-Frame-Options verhindert das Laden der Webseite in einem <frame>, <iframe> oder <object> und schützt so vor Clickjacking-Angriffen.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von x-Frame-Options
X-Frame-Options: DENY
- Permission-Policy
- Die Permission-Policy legt die Berechtigungen fest, die eine Webseite anfordern kann.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von Permission-Policy
Permissions-Policy: geolocation=(), microphone=()
- X-XSS-Protection
- Der X-XSS-Protection-Header aktiviert den XSS-Schutz im Browser und verhindert das Laden einer Seite, wenn ein XSS-Angriff erkannt wird. Der Modus block verhindert, dass der Browser versucht, die Seite zu reparieren, wenn ein XSS-Angriff festgestellt wird.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von X-XSS-Protection
X-XSS-Protection: 1; mode=block
Weblinks
Strict-Transport-Security (HSTS)