Onur Yılmaz - Http Güvenlik Başlıkları

OnurYılmaz, CypSec, 2015

@netsparker – Güvenlik Araştırmacısı @owasptr – Board Member

Set-Cookie ile oluşturulan cookilere HttpOnlyözelliği kazandırılırsa cookie’ler sadece HTTP header’ları üzerinden gider ve JavaScript ileclient tarafından erişilemezler.

Set-Cookie: user=fbsvs58; path=/; HttpOnly

Bu neyi çözer ?

XSS saldırılarını engellemez. Sadececookie’lerin çalınmasını engeller.

Keywords: XSS Tunnel, XSS Shell, BeEF

Eğer cookie’ye secure özelliği kazandırıldıysa, ilgili cookie değeri sadece HTTPs üzerindeniletilecektir.

Set-Cookie: user=fbsvs58; path=/; Secure

Bu neyi çözer ?

Bir uygulamada eğer sadece uygulamaya girişalanında SSL kullanılmış, kalan işlemler HTTP üzerinden yapılıyorsa network sniff edilerekilgili cookie değerinin okunmasını engeller.

Clickjacking saldırılarına önlem almak adınadoğmuştur.

Saldırganın sahip olduğu web sitesi üzerindeniframe ile sizin siteniz çağrılarak kullanıcılarafarklı işlemler yaptırılabilmektedir.

3 farklı parametre almaktadır;

Deny: Tamamen engeller.

SAMEORIGIN: Kendi domaininden başka biryerden çağrılmasını engeller.

ALLOW-FROM uri: İstenilen domainlere izin verir.

Apache içinHeader always append X-Frame-Options SAMEORIGIN

IIS için – web.config<httpProtocol>

<customHeaders><add name="X-Frame-Options"

value="SAMEORIGIN" /></customHeaders>

</httpProtocol>

XSS saldırılarının çalışmasını engellemek içinkullanılır. XSS sorununu çözmez, sadecederinlemesine defans sağlar.

Apache içinHeader always append X-XSS-Protection 1

IIS için<httpProtocol><customHeaders>

<add name="X-XSS-Protection" value="1" /></customHeaders>

</httpProtocol>

Tüm içeriğin render edilmesini engellemekisterseniz;

X-XSS-Protection: 1; mode=block

onur@netsparker.com www.netsparker.com twitter/netsparker twitter/onuryilmazinfo