Hacker News

CSP for Pentesters: መሰረታዊ ነገራት ምርዳእ

ርእይቶታት

2 min read Via www.kayssel.com

Mewayz Team

Editorial Team

Hacker News

ንምንታይ ኩሉ ፔንተስተር ንፖሊሲ ድሕነት ትሕዝቶ ክመልኮ ኣለዎ

ፖሊሲ ድሕነት ትሕዝቶ (CSP) ሓደ ካብቶም ኣዝዮም ወሳኒ ዝኾኑ ብወገን መርበብ ሓበሬታ ዝጥቀሙሉ መከላኸሊ ኣገባባት ኣንጻር ስግረ-ሳይት ስክሪፕቲንግ (XSS)፡ መርፍእ ዳታን መጥቃዕቲ ምጥዋቕን ኮይኑ ኣሎ። ገና ኣብ ምትእትታው ፈተነ ምእታው፡ ርእሲ CSP ሓደ ካብቶም ብተደጋጋሚ ብጌጋ ዝተዋቕሩ — ከምኡ’ውን ብጌጋ ዝተረድኡ — ናይ ጸጥታ ቁጽጽር ኮይኑ ይቕጽል። ኣብ 2024 ንልዕሊ 1 ሚልዮን መርበባት ሓበሬታ ዝተንተነ መጽናዕቲ ከም ዘመልክቶ፡ 12.8% ጥራይ እዮም ብፍጹም ርእሲ CSP ዘዋፈሩ፡ ካብዚኦም ድማ ዳርጋ 94% እንተወሓደ ሓደ ክምዝመዝ ዝኽእል ናይ ፖሊሲ ድኽመት ዝሓዙ እዮም። ንፔንተስተራት፡ CSP ምርዳእ ኣማራጺ ኣይኮነን — ኣብ መንጎ ላዕለዋይ ደረጃ ገምጋምን ጸብጻብን ብጭቡጥ ንናይ ሓደ ዓሚል ጸጥታዊ ኣቃውማ ዘሐይል ፍልልይ እዩ።

ገምጋማት መተግበሪ መርበብ ሓበሬታ ትገብር ትኹን፡ ሃድን ሽልማት ስሕተት ትገብር ትኹን፡ ወይ ድማ ድሕነት ናብ ስሱዕ ዳታ ዓማዊል ዝሕዝ ንግዳዊ መድረኽ ትሃንጽ ትኹን፡ ፍልጠት CSP መሰረታዊ እዩ። እዚ መምርሒ እዚ ሲኤስፒ እንታይ ምዃኑ፡ ኣብ ትሕቲ ሽፋን ብኸመይ ከም ዝሰርሕ፡ ኣበይ ከም ዝፈሽል፡ ከምኡ’ውን ፔንተስተራት ብኸመይ ብስርዓት ድኹማት ፖሊሲታት ክግምግሙን ክሓልፍዎምን ከም ዝኽእሉን ይዝርዝር።

ፖሊሲ ድሕነት ትሕዝቶ ብሓቂ እንታይ ይገብር

ኣብ ሕመረቱ፡ CSP ብመንገዲ HTTP መልሲ ርእሲ (ወይ ውሑድ ልሙድ፡ tag) ዝቐርብ ኣዋጃዊ ድሕነት ኣገባብ እዩ። ኣየኖት ምንጪ ትሕዝቶታት - ስክሪፕትታት፡ ቅዲታት፡ ምስልታት፡ ቅርጺ ፊደላት፡ ፍሬማትን ካልእን - ኣብ ሓደ ዝተዋህበ ገጽ ክጽዕኑን ክፍጽሙን ከም ዝፍቀዱ ነቲ መርበብ ሓበሬታ ይሕብሮ። ሓደ ጸጋ ነቲ ፖሊሲ ክጥሕሶ ከሎ፡ እቲ መርበብ ሓበሬታ ይዓግቶን ብኣማራጺ ነቲ ጥሕሰት ናብ ዝተወሰነ መወዳእታ ነጥቢ ይሕብርን።

እቲ መበገሲ ድርኺት ድሕሪ CSP ንመጥቃዕቲ XSS ንምቅላል እዩ ነይሩ። ባህላዊ ናይ XSS መከላኸሊታት ከም ምእታው ሳኒታይዘሽንን ውጽኢት ኢንኮዲንግን ውጽኢታዊ እዮም ግን ከኣ ስብርባር እዮም — ሓደ ዝሓለፈ ዓውደ-ጽሑፍ ወይ ናይ ኢንኮዲንግ ጌጋ ነቲ ተቓላዕነት ዳግማይ ከእትዎ ይኽእል። CSP ናይ ምክልኻል-ብዕምቆት ንጣብ ይውስኽ: ዋላ ሓደ መጥቃዕቲ ዝፍጽም ሰብ ኣብ DOM ጐዳኢ ስክሪፕት መለለዪ እንተወግኦ: ብግቡእ ዝተዋቕረ ፖሊሲ ነቲ መርበብ ሓበሬታ ከይፍጽሞ ይኽልክሎ።

CSP ብ ናይ ጻዕዳ ዝርዝር ሞዴል እዩ ዝሰርሕ። ዝፍለጥ-ሕማቕ ትሕዝቶ ንምዕጋት ኣብ ክንዲ ምፍታን፡ ብግልጺ እንታይ ከም ዝፍቀድ ይገልጽ። ካልእ ኩሉ ብነባሪ ይኽልከል። እዚ ምግልባጥ ናይቲ ናይ ድሕነት ሞዴል ብክልሰ-ሓሳብ ሓያል ኮይኑ፡ ብተግባር ግን፡ ኣብ መላእ ዝተሓላለኹ መርበብ መተግበሪታት ጽኑዕ ፖሊሲታት ምሕላው - ብፍላይ ድማ ከም CRM፡ ፋክቱር፡ ትንታነታትን ስርዓታት ምዝገባን ዝኣመሰሉ ዓሰርተታት ዝተዋሃሃዱ ሞዱላት ዘመሓድሩ መድረኻት - ዕሉል ኣጸጋሚ እዩ።

ኣናቶሚ ናይ ሓደ ሲኤስፒ ርእሲ፡ መምርሕታትን ምንጭታትን

ርእሲ CSP ብመምርሒታት ዝቖመ ኮይኑ፡ ነፍሲ ወከፎም ንፍሉይ ዓይነት ጸጋ ዝቆጻጸሩ እዮም። ነዞም መምርሒታት ምርዳእ ንዝኾነ ንፖሊሲ ዕላማ ዝግምግም ፔንተስተር ኣገዳሲ እዩ። እቶም ኣገደስቲ መምርሒታት default-src (ንዝኾነ ብግልጺ ዘይተቐመጠ መምርሒ ምምላስ)፣ script-src (ምፍጻም ጃቫስክሪፕት)፣ style-src (CSS)፣ img-src (ስእልታት)፣ connect-src (XHR፣ Fetch፣ WebSocket ምትእስሳር)፣ frame-src ይርከብዎም (embedded iframes)፣ ከምኡ’ውን object-src (ከም ፍላሽ ወይ ጃቫ ኣፕለታት ዝኣመሰሉ ፕላጊናት)።

ነፍሲ ወከፍ መምርሒ ሓደ ወይ ልዕሊኡ ንዝተፈቕደ መበቆል ዝገልጽ ፍልፍል መግለጺታት ይቕበል። እዚኦም ካብ ፍሉያት ኣስማት ኣአንገድቲ (https://cdn.example.com) ክሳብ ዝሰፍሑ ቁልፊ ቃላት:

ይርከቡ
    ዝብል ጽሑፍ ኣሎ።
  • 'self' — ካብቲ ሰነድ
    • ዝመበገሲኡ ጸጋታት የፍቅድ
  • 'none' — ንኹሎም ናይቲ ዓይነት ጸጋታት ይዓግቶም
  • 'unsafe-inline' — ኣብ ውሽጢ መስመር ዝርከቡ ስክሪፕት ወይ ቅዲታት ይፈቅድ (ብውጽኢታዊ መንገዲ ንመከላኸሊ XSS ገለልተኛ ይገብሮ)
  • 'unsafe-eval' — eval()፣ setTimeout(string)፣ ከምኡውን ተመሳሳሊ ዳይናሚክ ኮድ ምፍጻም
    • የፍቅድ
  • 'nonce-{random}' — ብተመሳሳሊ ምስጢራዊ nonce
    • ዝተለጠፉ ፍሉያት ኣብ ውሽጢ መስመር ዝርከቡ ስክሪፕትታት የፍቅድ
  • 'strict-dynamic' — ድሮ ዝተኣመኑ ስክሪፕትታት ዝተጻዕኑ ስክሪፕትታት ይኣምን፣ ኣብ ኣአንጋዲ ዝተመርኮሱ ዝርዝር ፍቓድ ዕሽሽ ብምባል
  • data: — ዳታ URI ከም ምንጪ ትሕዝቶ
    • ይፈቅድ
ዝብል ጽሑፍ ኣሎ።

ናይ ሓቂ ዓለም CSP ርእሲ ከምዚ ክመስል ይኽእል እዩ: Content-Security-Policy: default-src 'self'; ስክሪፕት-src 'ነብሰይ' https://cdn.jsdelivr.net 'ሓንሳብ-abc123'፤ style-src 'self' 'ዘይውሑስ-ኣብ መስመር'; img-src * ዝብል ቃል ንምርካብ፤ object-src 'ዋላ ሓደ'። ከም ፔንተስተር ስራሕካ ነዚ ፖሊሲ ኣንቢብካ ኣበይ ከም ዝድልድል፡ ኣበይ ከም ዝደኸመ፡ ኣበይ ከም ዝምዝመዝ ብኡንብኡ ምልላይ እዩ።

ልሙዳት ናይ CSP ጌጋ ውቅርታት ፔንተስተራት ዕላማ ክገብሩ ኣለዎም

ኣብ መንጎ ምዝርጋሕ ርእሲ ሲኤስፒን ምዝርጋሕ ውጽኢታዊ ርእሲ ሲኤስፒን ዘሎ ክፍተት ኣዝዩ ዓቢ እዩ። ብተግባር መብዛሕትኦም ፖሊሲታት ብናይ ዲቨሎፐር ምቹእነት፣ ሳልሳይ ወገን ምውህሃድ ወይ ቀሊል ዘይምርድዳእ ዝተኣታተዉ ድኽመታት ዝሓዙ እዮም። ኣብ እዋን ገምጋማት፡ ፔንተስተራት ነዞም ልሙዳት ውድቀታት ብስርዓት ክምርምሩ ይግባእ።

እቲ ኣዝዩ ኣዕናዊ ጌጋ ውቅር ኣብ መምርሒ script-src 'unsafe-inline' ምህላዉ እዩ። እዚ ንጽል ቁልፊ ቃል ንኹሉ ጸረ-XSS ረብሓ CSP ብመሰረቱ ዘይጠቅም ይገብሮ፣ ምኽንያቱ ነቲ መርበብ ሓበሬታ ዝኾነ ኣብ መስመር ዘሎ