पेंटेस्टर खातिर सीएसपी: बुनियादी बातन के समझल
टिप्पणी कइल गइल बा
Mewayz Team
Editorial Team
हर पेंटेस्टर के सामग्री सुरक्षा नीति में महारत हासिल करे के काहे जरूरत बा
सामग्री सुरक्षा नीति (CSP) क्रॉस-साइट स्क्रिप्टिंग (XSS), डेटा इंजेक्शन, आ क्लिकजैकिंग हमला के खिलाफ ब्राउजर साइड के सभसे महत्वपूर्ण रक्षा तंत्र सभ में से एक बन गइल बा। फिर भी पेनेट्रेशन टेस्टिंग एंगेजमेंट में, सीएसपी हेडर सभसे ढेर गलत तरीका से कॉन्फ़िगर कइल गइल — आ गलत तरीका से समझल जाए वाला — सुरक्षा नियंत्रण सभ में से एक रहलें। साल 2024 में 10 लाख से ढेर वेबसाइट सभ के बिस्लेषण करे वाला एगो अध्ययन में पावल गइल कि खाली 12.8% वेबसाइट सभ में सीएसपी हेडर सभ के बिल्कुल भी तैनाती कइल गइल आ इनहन में से लगभग 94% में कम से कम एगो नीतिगत कमजोरी रहल जेकर फायदा उठावल जा सके ला। पेंटेस्टर लोग खातिर, सीएसपी के समझल वैकल्पिक ना होला — ई सतह-स्तर के आकलन आ रिपोर्ट के बीच के अंतर हवे जे वास्तव में कौनों ग्राहक के सुरक्षा मुद्रा के मजबूत करे ला।
चाहे रउआँ वेब एप्लीकेशन आकलन कर रहल होखीं, बग बाउंटी हंटिंग कर रहल होखीं, या कौनों बिजनेस प्लेटफार्म में सुरक्षा बनावत होखीं जे संवेदनशील ग्राहक डेटा के संभाले, CSP के जानकारी बुनियादी बा। एह गाइड में ई बतावल गइल बा कि सीएसपी का हवे, ई हुड के नीचे कइसे काम करे ला, ई कहाँ फेल होला, आ पेंटेस्टर लोग कइसे व्यवस्थित तरीका से कमजोर नीति सभ के मूल्यांकन आ बाईपास क सके ला।
सामग्री सुरक्षा नीति वास्तव में का करेले
अपना मूल में, CSP एगो घोषणा सुरक्षा तंत्र हवे जे HTTP रिस्पांस हेडर (या कम आमतौर पर, टैग) के माध्यम से डिलीवर कइल जाला। ई ब्राउजर के निर्देश देला कि कौनों सामग्री के कौनों स्रोत — स्क्रिप्ट, स्टाइल, इमेज, फॉन्ट, फ्रेम आ अउरी कई चीज — के कौनों दिहल गइल पन्ना पर लोड आ निष्पादित करे के इजाजत बा। जब कौनों संसाधन नीति के उल्लंघन करे ला तब ब्राउजर ओकरा के ब्लॉक क देला आ वैकल्पिक रूप से उल्लंघन के रिपोर्ट कौनों निर्दिष्ट अंत बिंदु पर करे ला।
सीएसपी के पीछे के मूल प्रेरणा एक्सएसएस हमला के कम कइल रहे। इनपुट सेनेटाइजेशन आ आउटपुट एन्कोडिंग नियर परंपरागत एक्सएसएस डिफेंस सभ कारगर होलें बाकी भंगुर होलें — एकही छूटल संदर्भ भा एन्कोडिंग त्रुटि एह भेद्यता के फिर से पेश क सके ला। CSP एगो डिफेंस-इन-डेप्थ लेयर जोड़ देला: भले कौनों हमलावर DOM में दुर्भावनापूर्ण स्क्रिप्ट टैग इंजेक्ट करे, ठीक से कॉन्फ़िगर कइल नीति ब्राउजर के एकरा के निष्पादित करे से रोके ले।
सीएसपी एगो श्वेतसूची मॉडल पर संचालित होला। ज्ञात-खराब सामग्री के ब्लॉक करे के कोसिस करे के बजाय, ई परिभाषित करे ला कि का स्पष्ट रूप से अनुमति बा। बाकी सब कुछ डिफ़ॉल्ट रूप से इनकार कर दिहल जाला। सुरक्षा मॉडल के ई उलटा सिद्धांत रूप में शक्तिशाली बाटे, बाकी ब्यवहार में, जटिल वेब एप्लीकेशन सभ में सख्त नीति सभ के रखरखाव कइल — खासतौर पर सीआरएम, चालान, एनालिटिक्स, आ बुकिंग सिस्टम नियर दर्जनों इंटीग्रेटेड मॉड्यूल सभ के प्रबंधन करे वाला प्लेटफार्म सभ — बदनाम तरीका से मुश्किल बा।
CSP हेडर के एनाटॉमी: निर्देश आ स्रोत
सीएसपी हेडर निर्देशक से बनल होला, हर एक बिसेस संसाधन प्रकार के नियंत्रित करे ला। कवनो लक्ष्य के नीति के मूल्यांकन करे वाला कवनो पेंटेस्टर खातिर एह निर्देशन के समझल बहुते जरूरी बा. सभसे महत्व के निर्देश सभ में default-src (स्पष्ट रूप से सेट ना कइल गइल कौनों भी निर्देश खातिर फॉलबैक), script-src (जावास्क्रिप्ट निष्पादन), style-src (CSS), img-src (छवि), connect-src (XHR, Fetch, WebSocket कनेक्शन), frame-src सामिल बाड़ें (एम्बेडेड आईफ्रेम), आ object-src (फ्लैश भा जावा एप्लेट नियर प्लगइन)।
हर निर्देश एक या एक से ढेर स्रोत अभिव्यक्ति के स्वीकार करे ला जे अनुमत मूल के परिभाषित करे लें। ई बिसेस होस्टनाँव (https://cdn.example.com) से ले के बिसाल कीवर्ड:
तक ले होलें- के बा
- 'self' — दस्तावेज के समान मूल के संसाधन सभ के अनुमति देला
- 'कोई ना' — ओह प्रकार के सगरी संसाधन सभ के ब्लॉक क देला
- 'अनसुरक्षित-इनलाइन' — इनलाइन स्क्रिप्ट भा स्टाइल सभ के अनुमति देला (प्रभावी रूप से XSS सुरक्षा के बेअसर करे ला)
- 'unsafe-eval' — eval(), setTimeout(string), आ अइसने डायनामिक कोड निष्पादन के अनुमति देला
- 'nonce-{random}' — मिलान क्रिप्टोग्राफिक nonce के साथ टैग कइल गइल बिसेस इनलाइन स्क्रिप्ट सभ के अनुमति देला
- 'strict-dynamic' — होस्ट आधारित अनुमतिसूची के अनदेखी करत, पहिले से बिस्वास जोग स्क्रिप्ट सभ द्वारा लोड कइल गइल स्क्रिप्ट सभ पर भरोसा करे ला
- डेटा: — डेटा यूआरआई के सामग्री स्रोत के रूप में अनुमति देला
वास्तविक दुनिया के CSP हेडर अइसन हो सके ला: सामग्री-सुरक्षा-नीति: default-src 'self'; स्क्रिप्ट-एसआरसी 'स्वयं' https://cdn.jsdelivr.net 'अब-abc123'; style-src 'स्वयं' 'असुरक्षित-इनलाइन'; img-src * के बा; object-src 'कोई ना' के बा। एगो पेंटेस्टर के रूप में राउर काम ई बा कि एह नीति के पढ़ीं आ तुरते पहचान लीं कि ई कहाँ मजबूत बा, कहाँ कमजोर बा आ कहाँ शोषण करे लायक बा.
आम CSP गलत कॉन्फ़िगरेशन पेंटेस्टर लोग के लक्ष्य बनावे के चाहीं
सीएसपी हेडर के तैनाती आ प्रभावी सीएसपी हेडर के तैनाती के बीच के अंतर बहुत बड़ बा। ब्यवहार में, ज्यादातर नीति सभ में डेवलपर के सुविधा, थर्ड पार्टी इंटीग्रेशन भा साधारण गलतफहमी से पैदा भइल कमजोरी सभ के सामिल कइल जाला। आकलन के दौरान, पेंटेस्टर लोग के व्यवस्थित रूप से एह आम असफलता सभ के जांच करे के चाहीं।
सबसे विनाशकारी गलत कॉन्फ़िगरेशन script-src निर्देश में 'unsafe-inline' के मौजूदगी बा। ई एकल कीवर्ड सीएसपी के पूरा एंटी-एक्सएसएस फायदा के अनिवार्य रूप से बेकार बना देला, काहें से कि ई ब्राउजर के कौनों भी इनलाइन
We use cookies to improve your experience and analyze site traffic. Cookie Policy