it-swarm.com.de

Wichtige Felder im HTTP-Header aus Sicherheitssicht

Was sind die wichtigen Felder im HTTP-Header aus Sicherheitssicht? Ich habe versucht, es zu googeln, konnte es aber nicht finden. Kann mir jemand einen Link zum Lesen geben? Danke im Voraus.

7
r.s.mahanti

Was sind die wichtigen Felder im HTTP-Header aus Sicherheitssicht?

Wenn es um Sicherheit geht, ist es am sichersten, alles zu berücksichtigen und dabei den Dingen Vorrang einzuräumen, von denen bekannt ist, dass sie von Angreifern ausgenutzt werden.

Die Header, die Ihr Server bei einer Anfrage zurückgibt, sind für Angreifer wichtig ( insbesondere Felder, die die Software-/Versionsinformationen zu Ihrem Webserver offenlegen oder dem Angreifer auf andere Weise erlauben, den Server zu profilieren). (... und +1 für die mod_header-Direktiven von John Conde in diesem Punkt - es schadet definitiv nicht, Client-Browsern anzuweisen, CSRF/XSS-Richtlinien durchzusetzen)

Die Header, die Ihr Webserver und Ihre Anwendung mit einer Anfrage akzeptieren (dh alles, was Ihr Webserver oder Ihre Anwendung analysieren muss), sind für Sie wichtig, da (a) Ihr Webserver wahrscheinlich bemüht sein wird, alle zu analysieren - was dem Angreifer u. U. a Mittel zum Ausführen eines Pufferüberlauf oder Slowloris Angriffs - und (b) Ihre Anwendung muss bereinigen und/oder validieren (wie im Fall eines Cookies, das möglicherweise geändert wurde) ) Alles, was als Eingabe verwendet wird.

1
danlefree

Hier sind einige, die ich benutze:

# Don't allow any pages to be framed by my site or any others
# Defends against Clickjacking!
Header set X-Frame-Options DENY

# Only allow JavaScript from the same domain to be run.
# Also, don't allow inline JavaScript to run. 
Header set X-Content-Security-Policy "allow 'self';"

# Turns on IE 8 XSS prevention tools
Header set X-XSS-Protection "1; mode=block"

# Don't send out the Server header. This way no one knows what 
# version of Apache and PHP I am using
Header unset Server

Nützliche Tinten:

https://developer.mozilla.org/en/the_x-frame-options_response_headerhttps://wiki.mozilla.org/Security/CSP/Specificationhttp://www.google.com/support/forum/p/Web%20Search/thread?tid=187e02e745a50a77&hl=de

7
John Conde

Sie möchten auch sicherstellen, dass wichtige Cookie-Header mit der Option HttpOnly gesendet werden.

http://www.owasp.org/index.php/HttpOnly

Es gibt Möglichkeiten, dies extern mit ModSecurity zu erzwingen, und natürlich können (und sollten) Sie dies aus dem Anwendungscode heraus tun, der Cookies setzt.

2
Jeff Atwood