Безпека сайту по його заголовків, або що робити, якщо хочеться залізти під нутрощі кожного сайту

Розробники намагаються уважно ставитися до своїх продуктів, минифицируют файли, налаштовують кеш, б'ються за кожну мілісекунду швидкості. Але чомусь майже скрізь ігнорується те, що найпершим відправляється користувачеві — а саме заголовки HTTP. Якось довелося мені відвідати курси з інформаційної безпеки, і там радили насамперед дивитися саме на них, оскільки про них найчастіше і забувають.

image

Я як ледар програміст який параноит при кожному заході на сайт захоплюється інформаційною безпекою, вирішив розвинути цю ідею. Якщо вам цікаво, ласкаво прошу.

Перше, на що я натрапив — було відмінне додаток від розробників Mozilla, яке аналізує Headers і багато чого іншого, і виставляє оцінку безпеки сайту. Дуже хороша річ, і мені самому дуже допомогла, але користуватися їй не завжди зручно.

І я вирішив зробити свій додаток, яке могло б з льоту аналізувати всі сайти, які я відвідую, аналізуючи HTTP headers і виставляючи оцінку подібно сайту Mozilla. А ще дуже хотілося, щоб воно відразу визначало не використовує сервер вразливі технології. І щоб готувати вміло. Але від останньої фічі згодом довелося відмовитися.

Код можна подивитися на GitHub, хотілося б висловити подяку noomorph за поради в непрофільному для мене JavaScript. Саме розширення доступне за посиланням: HeaderView

Для демонстрації роботи, можна просто відкрити хабр, і якщо ви скористаєтесь незабаром після публікації статті, то швидше за все побачите наступне:

image
Оцінка безпеки сайту F+, з розрахунку що А — найвища оцінка, F — найнижча. Хабр має хедеры безпеки, але разом з тим, він показує якою мовою він працює, і версія цієї мови трохи застаріла (на момент публікації статті актуальна версія PHP 5.6.29 згідно з офіційною документації. Розширення автоматично формує посилання на якій ви можете побачити уразливості даної версії.

В якості пошукової системи вразливостей я вибрав Vulners, так як, по-перше, він мені подобається, а по-друге, я не знаю інших, і якщо у вас таки є що мені підказати, буду радий.

Також розширення намагається аналізувати використовується сервер, але в даному випадку хабр не показує версію, і визначити вразлива вона не представляється можливим.

Що цікаво, при переході з Geektimes на хабр, редирект проходить через інший сервер, у якого версія PHP трохи новіші:

image
Хоча й недостатньо.

Таким чином, я тепер переглядаю всі сайти, де залишаю особисту інформацію або здійснюю покупки.

Якщо у вас свій ресурс, варто подивитися, що ви повідомляєте у світ, а по-хорошому рекомендується не тільки приховати версію мови/сервера, але і зовсім не показувати які технології ви використовуєте. Це, звичайно, не допоможе вберегтися від цілеспрямованої атаки, але є правилом хорошого тону.

Буду радий підказок та ідеям що додати, а так само ніж розширити підтримувані технології!
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.