Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Настройка безопасных заголовков для web сайта

Правильная настройка заголовков (headers) веб сервиса полностью или частично защищает его от ряда атак: XSS, CSRF, Clickjacking и иных.
Заголовки могут настраиваться на уровне сайта и/или веб сервера.
Сервис для проверки заголовков: https://securityheaders.com 
Перечень заголовков и параметров, которые следует настроить:
  1. X-Frame-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options 
  2. X-XSS-Protection https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection 
  3. Content Security Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP 
  4. Server https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Server 
  5. X-Content-Type-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options 
  6. X-Download-Options https://msdn.microsoft.com/en-us/library/jj542450(v=vs.85).aspx 
  7. X-Permitted-Cross-Domain-Policies https://www.adobe.com/devnet/adobe-media-server/articles/cross-domain-xml-for-streaming.html 
  8. Referrer-Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy 
  9. Clear-Site-Data https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Clear-Site-Data 
  10. HTTP Strict Transport Security https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security 
  11. Expect-CT https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT 
  12. Feature Policy (Permissions-Policy) https://w3c.github.io/webappsec-feature-policy 
  13. Set-Cookie (Secure, HttpOnly) https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies 
  14. X-Powered-By
Классификация
Тип
Превентивная ? Превентивные (превентативные) меры Эти меры направлены на предотвращение совершения злонамеренных действий, блокируя или останавливая кого-либо или что-либо. Примеры: Межсетевые экраны; Системы предотвращения вторжений IPS; Охранники; Биометрический контроль доступа; Шифрование; Видеонаблюдение; Заборы; Замки; Антивирусы.
Техническая ? Технические (логические) меры Технологические решения и меры, реализуемые в организации для снижения вероятности реализации рисков безопасности и их воздействия на организацию. Внутри организации могут присутствовать брандмауэры, системы обнаружения вторжений, системы предотвращения утечки данных, решения по управлению конфигурациями, антивирусы, системы контроля доступа к сети и многие другие технические средства обеспечения безопасности.
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Заражение вредоносным программным обеспечением из-за возможности проведения межсайтовой подделки запроса CSRF в веб-сайте
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность проведения межсайтовой подделки запроса CSRF Веб-сайт 1
Раскрытие ключей (паролей) доступа из-за возможности проведения межсайтовой подделки запроса CSRF в веб-сайте
Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя
Раскрытие ключей (паролей) доступа
Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя
Возможность проведения межсайтовой подделки запроса CSRF Веб-сайт 1
Несанкционированный доступ к корпоративному публичному сервису из интернета из-за наличия технических (программных) уязвимостей в веб-сервере
НСД
Несанкционированный доступ к корпоративному публичному сервису из интернета
НСД
Наличие технических (программных) уязвимостей Веб-сервер 1
Несанкционированный доступ к корпоративному публичному сервису из интернета из-за наличия технических (программных) уязвимостей в веб-сайте
НСД
Несанкционированный доступ к корпоративному публичному сервису из интернета
НСД
Наличие технических (программных) уязвимостей Веб-сайт 1