Hacker News

CSP ee Pentesters: Fahamka Aasaaska

Faallo

14 min read Via www.kayssel.com

Mewayz Team

Editorial Team

Hacker News

Waa maxay sababta Pentester kasta uu ugu baahan yahay in uu sare u qaado siyaasadda amniga macluumaadka

Siyaasadda Badbaadada Mawduuca (CSP) waxay noqotay mid ka mid ah hababka difaaca ugu muhiimsan browser-ka ee ka dhanka ah qorista goobta (XSS), duritaanka xogta, iyo weerarrada gujisyada. Haddana ka qaybgalka tijaabada gelitaanka, madaxyada CSP waxay ahaanayaan mid ka mid ah kuwa ugu badan ee si khaldan loo habeeyey - oo si khaldan loo fahmay - kontaroolada amniga. Daraasad 2024 ah oo lagu falanqeeyay in ka badan 1 milyan oo shabakadood ayaa lagu ogaaday in kaliya 12.8% la geeyay madaxyada CSP gabi ahaanba, iyo kuwa, ku dhawaad ​​94% ay ku jiraan ugu yaraan hal daciifnimo siyaasadeed oo laga faa'iidaysan karo. Qalableyda, fahamka CSP maaha mid ikhtiyaari ah - waa farqiga u dhexeeya qiimeynta heerka sare iyo warbixinta taas oo dhab ahaantii xoojisa booska amniga macmiilka.

Haddi aad samaynayso qiimaynta arjiga webka, ugaarsiga fadliga dhiqlaha, ama aad ku dhisayso amaanka goob ganacsi oo gacanta ku haysa xogta macmiilka ee xasaasiga ah, aqoonta CSP waa aasaas. Hagahan waxa uu kala jebinayaa waxa ay CSP tahay, sida ay u hoos shaqaynayso, halka ay ku fashilanto, iyo sida denbiilayaasha ay si nidaamsan u qiimeeyaan ugana gudbaan siyaasadaha daciifka ah.

Waa maxay Siyaasadda Nabadgelyada Mawduucadu dhab ahaantii qabato

Dhinaceeda, CSP waa hannaan ammaan oo caddaynaya oo lagu bixiyo madaxa jawaabta HTTP (ama ka yar, sumadda). Waxay faraysaa browserka ilaha macluumaadka - qoraallada, qaababka, sawirrada, xarfaha, fareemada, iyo in ka badan - loo oggol yahay inay ku shubaan oo ku fuliyaan bogga la siiyay. Marka kheyraadku jebiyo siyaasadda, browserku wuu xannibaa oo si ikhtiyaari ah ayuu u wargeliyaa xadgudubka meel cayiman.

Dhiirigelinta asalka ah ee ka dambeysay CSP waxay ahayd in la yareeyo weerarada XSS. Difaacyada XSS ee dhaqameed sida fayadhowrka gelinta iyo codaynta wax-soo-saarka ayaa waxtar leh laakiin way jilicsan yihiin - macnaha guud ee la seegay ama qaladka codaynta ayaa dib u soo celin kara dayacanka. CSP waxay ku darsataa lakab difaac-qoto dheer: xitaa haddii uu weerarku ku dudo qoraal xaasidnimo ah DOM, siyaasad si habboon loo habeeyey ayaa ka ilaalinaysa browserka inuu fuliyo.

CSP waxay ku shaqaysaaqaabka liiska cad-cad. Halkii aad isku dayi lahayd inaad xannibto waxyaabaha xun-xun ee la yaqaan, waxay qeexaysaa waxa si cad loo oggol yahay. Wax kasta oo kale waa la diidayaa. Rogaal celintan qaabka ammaanku waa mid awood leh aragti ahaan, laakiin ficil ahaan, ilaalinta siyaasadaha adag ee dhammaan codsiyada shabakadaha adag - gaar ahaan aaladaha maamulaya daraasiin qaybood oo isku dhafan sida CRM, qaansheegta, falanqaynta, iyo nidaamyada ballansashada - aad bay u adag tahay.

Anatomy of the CSP Header: Awaamiirta iyo Ilaha

Madaxa CSP waxa uu ka kooban yahayawaamiirta, mid kastaa waxa uu gacanta ku hayaa nooc kheyraad oo gaar ah. Fahamka awaamiirtan ayaa muhiim u ah qof kasta oo qiimeeya siyaasadda bartilmaameedka. Awaamiirta ugu muhiimsan waxaa ka mid ahdefault-src(dib-u-dhaca dardaaran kasta oo aan si cad loo dejin),script-src ( JavaScript execution ), style-src (CSS), img-src (images), isku xidhka-src, isku xidhka-src (iframes ku dhex jira), iyoobject-src(plugins sida Flash ama applets Java).

Awaamiir kastaa waxay aqbashaa hal ama in ka badan tibaaxaha ishaee qeexaya asalka la oggol yahay. Kuwani waxay u dhexeeyaan magacyo gaar ah oo martigeliyaha ah (https://cdn.example.com) ilaa ereyo fure oo ballaadhan:

  • 'naftiisa' — waxay ogolaataa agabka asal ahaan ka yimid dukumeentiga
  • midna' — xannibay dhammaan agabka noocaas ah
  • 'aan-ammaan ahayn-inline' - waxay ogolaataa qoraallada khadka ah ama qaababka (si wax ku ool ah u dhexdhexaadiya ilaalinta XSS)
  • 'nabadgelyo-eval' — ogolaato eval(), setTimeout(string), iyo fulinta koodka firfircoon ee la midka ah
  • 'nonce-{random}' — waxay ogolaataa qoraalo khad toosan oo gaar ah oo lagu sumadeeyay wax is-daba-marin ah
  • 'sdict-dynamic' — wuxuu aaminsan yahay qoraallada ay ku raran yihiin qoraallo hore loo aaminay, iyaga oo iska indhatiraya liisaska oggolaanshaha ee ku saleysan martida loo yahay
  • xogta: - waxay u ogolaataa xogta URI-yada sida ilaha nuxurka

Madaxa CSP-ga dhabta ah wuxuu u ekaan karaa sidan:Content-Security-Policy: default-src 'self'; script-src 'naftiisa' https://cdn.jsdelivr.net 'nonce-abc123'; style-src 'naftiisa' 'aan-ammaan-inline'; img-src *; object-src 'midna'. Pentester ahaan, shaqadaadu waa inaad akhrido siyaasaddan oo aad isla markiiba ogaatid meesha ay ku xooggan tahay, meelaha ay daciifsan tahay, iyo meelaha laga faa'iidaysan karo.

Qabaynta khaldan ee caadiga ah ee CSP Pentesters waa inay beegsadaan

Farqiga u dhexeeya geynta madaxa CSP iyo geynta ku-xigeenkamadaxa CSP waa mid aad u weyn. Ficil ahaan, siyaasadaha intooda badani waxay ka kooban yihiin daciifnimo ay keeneen ku habboonaanta horumariyaha, isdhexgalka qolo saddexaad, ama isfaham la'aan fudud. Inta lagu jiro qiimeynta, dembiilayaasha waa inay si nidaamsan u hubiyaan guuldarrooyinkan caadiga ah.

Habaynta khaldan ee ugu xun waa joogitaanka 'aan-ammaan-inline'' ee script-src dardaaranka. Kelmadan muhiimka ah waxay ka dhigaysaa dhammaan faa'iidooyinka ka-hortagga XSS ee CSP-da run ahaantii faa'iido la'aan, sababtoo ah waxay u oggolaanaysaa browser-ku inuu fuliyo wax kasta oo khadka