El mundo se está volviendo más interconectado todos los días, y los servicios en línea como las redes sociales y el comercio electrónico están contribuyendo a enormes cantidades de datos comerciales y personales confidenciales. Estos desarrollos introducen nuevos riesgos y vulnerabilidades para que los ciberdelincuentes exploten a través de scripts de sitios cruzados (XSS), ataques de hombre en el medio (MitM), clickjacking, falsificación de solicitudes entre sitios y otros vectores de amenazas.
El proyecto OWASP Secure Headers pretende establecer parámetros de seguridad relacionados con los encabezados de respuesta HTTP que equilibren la usabilidad y la seguridad. A continuación, se incluyen algunos de los encabezados más destacados que los usuarios pueden configurar para reforzar la seguridad de sus aplicaciones web.
Seguridad de transporte estricta de HTTP (HSTS)
HTTP Strict Transport Security (HSTS) es un encabezado de respuesta HTTP que exige que los navegadores web o los agentes compatibles solo interactúen con aplicaciones que usan conexiones HTTPS, y nunca una versión HTTP o inferior de Transport Layer Security (TLS). El servidor de aplicaciones implementa una política HSTS al proporcionar el encabezado «Strict-Transport-Security» a través de una conexión HTTPS. Establecer este encabezado HSTS puede ayudar a proteger las aplicaciones contra ataques de degradación de protocolo, como Poodle.
El siguiente es un ejemplo de un encabezado HSTS:
Strict-Transport-Security: max-age=298000; includeSubDomains; preload
Valores de encabezado de HSTS
|
Valor de encabezado |
Descripción |
|
max-age = SEGUNDOS |
El tiempo, en segundos, el navegador debe recordar que solo se debe acceder a un sitio usando HTTPS. |
|
includeSubDomains |
Si se especifica este parámetro opcional, esta regla también se aplica a todos los subdominios del sitio. |
|
Precargar |
HSTS de Chrome precarga de lis t . |
X-Frame-Options
El encabezado de respuesta X-Frame-Options protege las aplicaciones web contra ataques de clickjacking . El servidor de aplicaciones establece la política de encabezado X-Frame-Options en el navegador del cliente para permitir o denegar la representación del contenido web en los marcos de sitios web de terceros.
El siguiente es un ejemplo de un encabezado X-Frame-Options:
X-Frame-Options: deny
X-Frame Options Header Values
|
Valor de encabezado |
Descripción |
|
negar |
Sin renderizado dentro de un marco. |
|
sameorigin |
Sin renderizado si el origen no coincide. |
|
allow-from: <lista de DOMINIOS> |
Permite la representación en marcos cargados desde un DOMINIO especificado. |
X-XSS-Protection
El encabezado X-XSS-Protection está diseñado para defender aplicaciones web contra ataques XSS reflexivos . El servidor de aplicaciones establece este encabezado en el navegador del cliente con los valores adecuados para desactivar la protección o para desinfectar o bloquear los ataques XSS reflectantes.
El siguiente es un ejemplo de un encabezado X-XSS-Protection:
X-XSS-Protection: 1; modo = bloque
Valores de encabezado de protección X-XSS
|
Valor de encabezado |
Descripción |
| 0 |
Deshabilitar la protección |
| 1 | Protección habilitada Si se detecta un ataque XSS, el navegador desinfectará la página para detener el ataque. |
|
1; modo = bloque |
Protección habilitada Cuando se detecta un ataque XSS, en lugar de desinfectar la página, el navegador evitará que la página se reproduzca. |
X-Content-Type-Options
Cuando el servidor de aplicaciones establece el encabezado X-Content-Type-Options para «nosniff» en el navegador del cliente, el script y los elementos de la hoja de estilo rechazarán las respuestas con tipos de extensiones de correo multipropósito incorrectas (MIME), limitando así la exposición a descargas y el riesgo de contenido cargado que podría tratarse como archivos HTML ejecutables o dinámicos. Este encabezado de seguridad HTTP ayuda a prevenir ataques basados en la confusión del tipo MIME.
El siguiente es un ejemplo de un encabezado X-Content-Type-Options:
X-Content-Type-Options: nosniff
X-Content-Type-Options Valores de encabezado
|
Valor de encabezado |
Descripción |
|
nosniff |
Esto evitará que el navegador MIME detecte una respuesta lejos del tipo de contenido declarado. |
Contenido-Seguridad-Política
El encabezado Content-Security-Policy (CSP) proporciona defensa en profundidad contra ataques de inyección de contenido, como XSS y clickjacking. Este encabezado proporciona un método estándar para que los sitios web creen confianza y determinen los orígenes del contenido que el navegador puede cargar en la página web. CSP requiere un ajuste cuidadoso y una definición precisa de la política.
El siguiente es un ejemplo de un encabezado CSP:
Content-Security-Policy: script-src ‘auto’
Consulte los Documentos web MDN de Mozilla para obtener información más detallada sobre los valores que se pueden establecer en un encabezado CSP.
Referente-Política
El encabezado de respuesta HTTP de referencia de política rige qué información de dominio enviada en el encabezado de referencia debe incluirse con las solicitudes.
El siguiente es un ejemplo de un encabezado Referrer-Policy:
Referrer-Policy: no-referrer
MDN Web Docs proporciona más información sobre los valores asociados con el encabezado Referrer-Policy.
Construyendo seguridad en el futuro con encabezados de respuesta HTTP
Es importante tener en cuenta que no todos los encabezados de respuesta HTTP relacionados con la seguridad son compatibles con todos los navegadores. OWASP ofrece un desglose útil de qué navegadores admiten qué encabezados.
Con amenazas tales como XSS, MitM y clickjacking cada vez más avanzados a medida que evoluciona el panorama del cibercrimen, los desarrolladores de aplicaciones deben hacer todo lo posible para mantenerse a la vanguardia. Mediante la implementación de encabezados de respuesta HTTP, los desarrolladores pueden protegerse contra los ataques específicos mencionados anteriormente y garantizar que la seguridad esté integrada en su software desde el principio.
Fuente SecurityIntelligence
Danos tu reacción
0
0
0
0
0
