Suas aplicações são seguras?

Conheça a Conviso!

Aumentando a segurança das aplicações com headers HTTP de segurança

Neste blogpost iremos abordar a utilização de alguns headers HTTP que podem aumentar a segurança das aplicações web. Mesmo com a adoção da versão 2.0 do protocolo HTTP ganhando espaço, esses headers ainda serão utilizados. Vamos discutir um pouco sobre suas características e como implementá-los. 

Quais são esses headers?

Os headers a seguir são inseridos em respostas a requisições http e podem implementar controles importantes a sua aplicação:

  • HTTP Strict-Transport-Security (HSTS)[1]: força o uso de SSL/TLS impossibilitando que a aplicação contenha conteúdo misto, ou seja, transmita conteúdo em HTTP. Também checa as características do certificado SSL evitando ataques Man in the Middle (MitM).  Só pode ser habilitado em aplicações 100% HTTPS.

  • Content Security Policy (CSP)[2]: implementa políticas que validam a renderização da página e protegem contra ataques de injeção de conteúdo como Cross-Site Scripting (XSS). Deve-se estudar a aplicação de cada política configurada, para evitar que aplicações tenham seu funcionamento prejudicado. A principal característica que pode ocasionar a quebra é o bloqueio de javascript inline, situação onde o javascript é inserido na página com tag <script>.

  • X-Content-Type-Options[3]: evita que navegadores como Internet Explorer e Chrome interpretem o conteúdo da página (sniffing) e execute o dado como código/tag.  Um exemplo básico é ao fazer o upload de um arquivo texto com um código javascript e o navegador ler o conteúdo que está no arquivo e executar, mesmo sendo apenas um texto e não parte do código.

  • X-XSS-Protection[4]: informa a navegadores mais modernos que deve ser aplicado os filtros anti-XSS. Navegadores como Internet Explorer e Chrome possuem ferramentas que procuram filtrar o conteúdo da página evitando que ataques de Cross-Site Scripting (XSS) afetem os usuários.

  • X-Frame-Options[5]: impossibilita que o navegador renderize conteúdo externo em objetos DOM como <frame>, <iframe> ou <object> e consequentemente protegendo a aplicação contra ataques de Clickjacking.

Compatibilidade com os navegadores 

Nem todos os navegadores suportam a análise desses headers, porém isso não irá inviabilizar o seu uso. Se um navegador não suportar o header ele será simplesmente ignorado e a aplicação funcionará normalmente sem a checagem de segurança.

Como implementar

Apesar de ser possível habilitar via código,  a melhor abordagem é implementada por configurações nos servidores de aplicação. Cada header possuí a sua política conforme os exemplos a seguir:

  • HTTP Strict-Transport-Security (HSTS)

    • Políticas: max-age = o tempo, em segundos, que o navegador deve se lembrar que este site é apenas para ser acessado usando HTTPS; includeSubDomains = define se os subdomínios irão respeitar esse header; Preload que é uma especificação extra inserida pelo Google.

    • Exemplo: Strict-Transport-Security: max-age=16070400; includeSubDomains

  • Content Security Policy (CSP): 

    • Políticas: o CSP possui um número bem grande de políticas e deve ser estudado para implementar uma política adequada. O exemplo a seguir apresenta uma política básica.

    • Exemplo: Content-Security-Policy: default-src ‘self’

  • X-Content-Type-Options: 

    • Políticas: possui apenas uma política que é nosniff para informar que o browser não deve analisar o conteúdo.

    • Exemplo: X-Content-Type-Options: nosniff

  • X-XSS-Protection: 

    • Políticas: 1 = habilita a proteção; mode = define o bloqueio.

    • Exemplo: X-XSS-Protection: 1; mode=block

  • X-Frame-Options: 

    • Políticas: DENY = não carrega nenhum objeto externo; SAMEORIGIN = carrega somente da mesma url; ALLOW-FROM = pode definir UMA url que pode carregar objetos externos.

    • Exemplo: X-Frame-Options: deny

É possível burlar esses headers?

Como a grande maioria dos recursos que adotamos, esses não são diferentes. Sim, existem possibilidades de se burlar a adoção desses headers em algumas condições. É importante adotar os headers e proteger a aplicação contra outros ataques que podem viabilizar esse bypass. Alguns ataques conhecidos  até o momento:

  • HTTP Strict-Transport-Security (HSTS): com algumas técnicas e uma configuração inadequada do HSTS é possível alterar o time da máquina e fazer expirar a política do HSTS. Mais detalhes nesse paper da Black Hat.

  • Content Security Policy (CSP): com injeção de CRLF é possível explorar algumas implementações do navegador e burlar as políticas do CSP conforme podemos ver nesse blog post.

  • X-XSS-Protection: com injeção de header através de um ataque de HTTP Response Splitting é possível alterar o valor do header e desabilitar a proteção conforme podemos ver nesse blog post.

 

Como podemos ver os headers trazem importantes controles, mas é essencial que sua aplicação tenha as proteções adequadas além dessas configurações.

 Referências 

  1. https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security

  2. https://developer.mozilla.org/en-US/docs/Web/Security/CSP/Introducing_Content_Security_Policy

  3. https://msdn.microsoft.com/en-us/library/ie/gg622941%28v=vs.85%29.aspx

  4. http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header.aspx

  5. https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+

Tags

Deixe uma resposta

Seu endereço de e-mail não será publicado.

topo