CSP для пентестерів: розуміння основ

Чому кожен пентестер повинен оволодіти політикою безпеки вмісту

Політика безпеки вмісту (CSP) стала одним із найважливіших механізмів захисту веб-переглядача від міжсайтових сценаріїв (XSS), ін’єкцій даних і атак зловмисників. Проте під час тестування на проникнення заголовки CSP залишаються одним із найбільш часто неправильно налаштованих — і неправильно зрозумілих — засобів контролю безпеки. Дослідження 2024 року, у якому проаналізовано понад 1 мільйон веб-сайтів, виявило, що лише 12,8% взагалі розгорнули заголовки CSP, і з них майже 94% містили принаймні одну слабку політику, якою можна скористатися. Для пентестерів розуміння CSP не є обов’язковим — це різниця між оцінкою поверхневого рівня та звітом, яка фактично зміцнює безпеку клієнта.

Незалежно від того, чи проводите ви оцінювання веб-додатків, вишукуєте винагороду за помилки чи вбудовуєте захист у бізнес-платформу, яка обробляє конфіденційні дані клієнтів, знання CSP є основоположними. У цьому посібнику пояснюється, що таке CSP, як він працює під капотом, де дає збій і як пентестери можуть систематично оцінювати та обходити слабкі політики.

Що насправді робить політика безпеки вмісту

За своєю суттю CSP — це декларативний механізм безпеки, який надається через заголовок відповіді HTTP (або рідше тег ). Він вказує браузеру, які джерела вмісту — сценарії, стилі, зображення, шрифти, рамки тощо — дозволено завантажувати та виконувати на певній сторінці. Коли ресурс порушує політику, браузер блокує його та, за бажанням, повідомляє про порушення вказаній кінцевій точці.

Початковою мотивацією CSP було пом’якшення атак XSS. Традиційні засоби захисту XSS, як-от очищення вхідних даних і кодування вихідних даних, ефективні, але нестійкі — один пропущений контекст або помилка кодування може знову викликати вразливість. CSP додає рівень глибокого захисту: навіть якщо зловмисник вставляє тег шкідливого сценарію в DOM, належним чином налаштована політика запобігає браузеру від його виконання.

CSP працює за моделлю білого списку. Замість того, щоб намагатися заблокувати завідомо поганий вміст, він визначає, що явно дозволено. Все інше заборонено за замовчуванням. Ця інверсія моделі безпеки є потужною в теорії, але на практиці підтримувати сувору політику в складних веб-додатках, особливо платформах, які керують десятками інтегрованих модулів, таких як CRM, виставлення рахунків, аналітика та системи бронювання, як відомо, важко.

Анатомія заголовка CSP: директиви та джерела

Заголовок CSP складається з директив, кожна з яких керує певним типом ресурсу. Розуміння цих директив є важливим для будь-якого пентестера, який оцінює цільову політику. Найважливіші директиви включають default-src (запасний варіант для будь-якої директиви, яка не встановлена ​​явно), script-src (виконання JavaScript), style-src (CSS), img-src (зображення), connect-src (з’єднання XHR, Fetch, WebSocket), frame-src (вбудовані iframes) і object-src (плагіни, такі як Flash або Java-аплети).

Кожна директива приймає один або кілька вихідних виразів, які визначають дозволені джерела. Вони варіюються від конкретних імен хостів (https://cdn.example.com) до ширших ключових слів:

'self' — дозволяє ресурси з того самого походження, що й документ

'none' — блокує всі ресурси цього типу

'unsafe-inline' — дозволяє вбудовані скрипти або стилі (ефективно нейтралізує захист XSS)

'unsafe-eval' — дозволяє eval(), setTimeout(string) і подібне виконання динамічного коду

'nonce-{random}' — дозволяє певні вбудовані скрипти, позначені відповідним криптографічним nonce

'strict-dynamic' — довіряє сценаріям, завантаженим уже довіреними сценаріями, ігноруючи дозволені списки на основі хоста

data: — дозволяє URI даних як джерела вмісту

Реальний заголовок CSP може виглядати так: Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.jsdelivr.net 'nonce-abc123'; style-src 'self' 'unsafe-inline'; img-src *; object-src 'немає'. Як пентестер, ваша робота полягає в тому, щоб прочитати цю політику та негайно визначити, де вона сильна, де слабка, а де її можна використовувати.

Поширені неправильні конфігурації CSP Пентестери повинні

Frequently Asked Questions

What is Content Security Policy (CSP) and why should pentesters care?

Content Security Policy is a browser-side security mechanism that controls which resources a webpage can load, helping prevent XSS, data injection, and clickjacking attacks. Pentesters must understand CSP because it is one of the most frequently misconfigured security controls — studies show nearly 94% of deployed policies contain exploitable weaknesses. Mastering CSP fundamentals allows pentesters to identify critical vulnerabilities that automated scanners often miss entirely.

What are the most common CSP misconfigurations pentesters find?

The most common CSP misconfigurations include using unsafe-inline and unsafe-eval directives, overly permissive wildcard sources, missing frame-ancestors directives that enable clickjacking, and whitelisting entire CDN domains that host attacker-controllable content. Pentesters should also look for missing directives like base-uri and form-action, which can be leveraged for phishing and data exfiltration even when script controls appear strict.

How can businesses protect their web applications with proper CSP headers?

Businesses should start with a strict CSP using nonce-based or hash-based script allowlisting instead of domain whitelists. Deploy in report-only mode first to identify breakages before enforcement. Platforms like Mewayz, a 207-module business OS starting at $19/mo, help teams manage their web presence securely while following modern security best practices across all digital touchpoints.

What tools do pentesters use to evaluate CSP effectiveness?

Pentesters commonly use Google's CSP Evaluator, browser developer tools, and Burp Suite extensions to analyze CSP headers for weaknesses. Manual testing remains essential — automated tools miss context-dependent bypasses like JSONP endpoints and Angular template injection on whitelisted domains. A thorough assessment combines automated scanning with manual review of each directive against known bypass techniques and the application's specific technology stack.

Related Posts

• Show HN: Я створив базу знань маркетингу електронною поштою з 55 тисяч слів і навичок Клода Коду
• Привілей - це погана граматика
• Надмірне використання токенів у Claude Code
• Теренс Тао, 8 років (1984) [pdf]