पेंटेस्टर के लिये सीएसपी : मौलिक बातों को समझना |
टिप्पणी
Mewayz Team
Editorial Team
हर पेंटेस्टर कए सामग्री सुरक्षा नीति मे महारत हासिल करबाक जरूरत किएक
सामग्री सुरक्षा नीति (सीएसपी) क्रॉस-साइट स्क्रिप्टिंग (XSS), डाटा इंजेक्शन, आरू क्लिकजैकिंग हमला के खिलाफ सबसें महत्वपूर्ण ब्राउज़र-साइड रक्षा तंत्र म॑ स॑ एक बनी गेलऽ छै. तइयो पैठ परीक्षण सगाई मे, सीएसपी हेडर सब सं बेसि बेर गलत विन्यस्त — आ गलत समझल गेल — सुरक्षा नियंत्रण मे सं एक बनल छै. 2024 म॑ 10 लाख स॑ भी अधिक वेबसाइटऽ के विश्लेषण करलऽ गेलऽ एगो अध्ययन म॑ पता चललै कि केवल 12.8% न॑ सीएसपी हेडर क॑ बिल्कुल भी तैनात करलकै, आरू ओकरा म॑ स॑ लगभग 94% म॑ कम स॑ कम एगो नीतिगत कमजोरी छेलै जेकरऽ दोहन करलऽ जाब॑ सकै छै । पेंटेस्टर कें लेल, सीएसपी कें समझना वैकल्पिक नहि छै — इ सतह-स्तरीय आकलन आ रिपोर्ट कें बीच कें अंतर छै जे वास्तव मे कोनों ग्राहक कें सुरक्षा मुद्रा कें मजबूत करय छै.
चाहे अहां वेब एप्लीकेशन आकलन, बग इनाम कें शिकार करय रहल छी, या सुरक्षा कें कोनों व्यवसायिक प्लेटफॉर्म मे बना रहल छी जे संवेदनशील ग्राहक डेटा कें संभालयत छै, सीएसपी ज्ञान बुनियादी छै. इ गाइड सीएसपी की छै, हुड कें नीचा कोना काम करय छै, इ कतय असफल भ जायत छै, आ पेंटेस्टर कमजोर नीतियक कें व्यवस्थित रूप सं मूल्यांकन आ बाईपास कोना कयर सकय छै.
सामग्री सुरक्षा नीति वास्तव मे की करैत अछि
अपन मूल मे, सीएसपी एकटा घोषणात्मक सुरक्षा तंत्र छै जे एचटीटीपी प्रतिक्रिया हेडर (या कम आमतौर पर, टैग) कें माध्यम सं वितरित कैल जायत छै. ई ब्राउज़र क॑ निर्देश दै छै कि सामग्री केरऽ कोन-कोन स्रोत — स्क्रिप्ट, शैली, छवि, फॉन्ट, फ्रेम, आरू बहुत कुछ — क॑ कोनों देलऽ गेलऽ पन्ना प॑ लोड आरू निष्पादित करै के अनुमति छै । जखन कोनो संसाधन नीतिक उल्लंघन करैत अछि, तखन ब्राउज़र ओकरा अवरुद्ध करैत अछि आ वैकल्पिक रूप सँ उल्लंघन केँ कोनो निर्दिष्ट अंतिम बिंदु पर रिपोर्ट करैत अछि.
सीएसपी के पाछु मूल प्रेरणा एक्सएसएस हमला के कम करब छल. इनपुट सेनेटाइजेशन आ आउटपुट एन्कोडिंग जैना पारंपरिक एक्सएसएस डिफेंस प्रभावी छै मुदा भंगुर छै — एकटा छूटल संदर्भ या एन्कोडिंग त्रुटि भेद्यता कें पुनः परिचय द सकय छै. CSP एकटा रक्षा-गहराई परत जोड़ैत अछि: भले कोनो हमलावर DOM मे दुर्भावनापूर्ण स्क्रिप्ट टैग इंजेक्ट करैत अछि, एकटा सही तरीका सँ विन्यस्त नीति ब्राउज़र केँ एकरा निष्पादित करबा सँ रोकैत अछि.
सीएसपी एकटा श्वेत सूची मॉडल पर संचालित होइत अछि. ज्ञात-खराब सामग्री क॑ अवरुद्ध करै के कोशिश करै के बजाय, ई परिभाषित करै छै कि की स्पष्ट रूप स॑ अनुमति छै । बाकी सब किछु डिफ़ॉल्ट रूप सँ अस्वीकार कएल गेल अछि. सुरक्षा मॉडल केरऽ ई उलटा सिद्धांत रूप म॑ शक्तिशाली छै, लेकिन व्यवहार म॑, जटिल वेब अनुप्रयोगऽ म॑ सख्त नीति क॑ बनाए रखना — खास करी क॑ सीआरएम, चालान, विश्लेषण, आरू बुकिंग सिस्टम जैसनऽ दर्जनों एकीकृत मॉड्यूल क॑ प्रबंधित करै वाला प्लेटफॉर्म — कुख्यात रूप स॑ मुश्किल छै.
एकटा सीएसपी हेडर कें शरीर रचना विज्ञान: निर्देश आ स्रोत
एकटा सीएसपी हेडर निर्देशक सं बनल छै, जे प्रत्येक एकटा विशिष्ट संसाधन प्रकार कें नियंत्रित करयत छै. कोनों लक्ष्य कें नीति कें मूल्यांकन करय वाला कोनों पेंटेस्टर कें लेल इ निर्देशक कें समझनाय आवश्यक छै. सबसँ महत्वपूर्ण निर्देश मे default-src (कोनो निर्देशक लेल फॉलबैक जे स्पष्ट रूप सँ सेट नहि कएल गेल अछि), script-src (जावास्क्रिप्ट निष्पादन), style-src (CSS), img-src (छवि), connect-src (XHR, Fetch, WebSocket कनेक्शन), frame-src शामिल अछि (एम्बेडेड iframes), आरू object-src (फ्लैश या जावा एप्लेट जैसनऽ प्लगइन).
प्रत्येक निर्देश एक या एक सँ बेसी स्रोत अभिव्यक्ति केँ स्वीकार करैत अछि जे अनुमत उत्पत्ति केँ परिभाषित करैत अछि. ई विशिष्ट मेजबान नाम (https://cdn.example.com) सँ ल' क' व्यापक कीवर्ड:
धरि अछि- 'self' — दस्तावेज क समान मूल सँ संसाधनक अनुमति दैत अछि
- 'कोनो नहि' — ओहि प्रकारक सभ संसाधनकेँ अवरुद्ध करैत अछि
- 'असुरक्षित-इनलाइन' — इनलाइन स्क्रिप्ट या शैली क अनुमति दैत अछि (प्रभावी रूप स XSS सुरक्षा कए बेअसर करैत अछि)
- 'unsafe-eval' — eval(), setTimeout(string), आओर समान गतिशील कोड निष्पादन क अनुमति दैत अछि
- 'nonce-{random}' — एक मिलान क्रिप्टोग्राफिक nonce के साथ टैग करलऽ गेलऽ विशिष्ट इनलाइन स्क्रिप्ट के अनुमति दै छै
- 'strict-dynamic' — मेजबान-आधारित अनुमति सूची केँ अनदेखी करैत, पहिने सँ भरोसेमंद स्क्रिप्ट द्वारा लोड कएल गेल स्क्रिप्ट पर भरोसा करैत अछि
- डेटा: — डाटा यूआरआई कें सामग्री स्रोत कें रूप मे अनुमति देयत छै
एकटा वास्तविक-दुनिया CSP हेडर एहि तरहेँ देखा सकैत अछि: सामग्री-सुरक्षा-नीति: default-src 'self'; स्क्रिप्ट-src 'स्वयं' https://cdn.jsdelivr.net 'अब-abc123'; style-src 'स्वयं' 'असुरक्षित-इनलाइन'; img-src * के; object-src 'कोनो नहि'। एकटा पेंटेस्टर के रूप में अहाँक काज अछि जे एहि नीति के पढ़ू आ तुरंत पहचान करू जे ई कतय मजबूत अछि, कतय कमजोर अछि, आ कतय शोषण योग्य अछि.
सामान्य CSP गलत विन्यास पेंटेस्टर कए लक्षित करबाक चाही
CSP हेडर कें तैनात करनाय आ प्रभावी CSP हेडर कें तैनात करय कें बीच अंतर बहुत पैघ छै. व्यवहार मे, अधिकांश नीति मे डेवलपर सुविधा, तृतीय पक्ष एकीकरण, या सरल गलतफहमी कें द्वारा पेश कैल गेल कमजोरी शामिल छै. आकलन कें दौरान, पेंटेस्टर कें व्यवस्थित रूप सं इ आम विफलताक कें जांच करबाक चाही.
सबसँ विनाशकारी गलत विन्यास script-src निर्देशमे 'unsafe-inline' क' उपस्थिति अछि. ई एकल कीवर्ड सीएसपी केरऽ पूरा एंटी-एक्सएसएस लाभ क॑ अनिवार्य रूप स॑ बेकार बनाबै छै, कैन्हेंकि ई ब्राउज़र क॑ कोनों भी इनलाइन
We use cookies to improve your experience and analyze site traffic. Cookie Policy