Правильная настройка заголовков (headers) веб сервиса полностью или частично защищает его от ряда атак: XSS, CSRF, Clickjacking и иных.
- X-Frame-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
- X-XSS-Protection https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
- Content Security Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
- Server https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Server
- X-Content-Type-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
- X-Download-Options https://msdn.microsoft.com/en-us/library/jj542450(v=vs.85).aspx
- X-Permitted-Cross-Domain-Policies https://www.adobe.com/devnet/adobe-media-server/articles/cross-domain-xml-for-streaming.html
- Referrer-Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
- Clear-Site-Data https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Clear-Site-Data
- HTTP Strict Transport Security https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security
- Expect-CT https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT
- Feature Policy (Permissions-Policy) https://w3c.github.io/webappsec-feature-policy
- Set-Cookie (Secure, HttpOnly) https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies
- X-Powered-By
- Инструментом для реализации защитной меры следует указать конкретные защищаемые веб-сервисы, если они учитываются в реестре активов - привязать их к карточке в качестве инструментов.
- В заметке к защитной мере привести инструкции по настройке заголовков используемых в организации веб-сервисов;
- Создать шаблон регулярной задачи по проверке заголовков у веб-сервисов организации.
Область действия: Вся организация
Классификация
Ресурсная оценка
Качественная оценка |
Количественная оценка |
Итоговая оценка | ||||
---|---|---|---|---|---|---|
Стоимость |
Трудозатраты |
Сложность |
Стоимость, тыс. руб |
Трудозатраты, дней/ год |
||
CAPEX ? |
Неизвестно
|
Неизвестно
|
Неизвестно
|
Неизвестно
|
Неизвестно
|
Отсутствует
|
OPEX ? |
Неизвестно
|
Неизвестно
|
Неизвестно
|
Неизвестно
|
Неизвестно
|
Связанные риски
Риск | Связи | |
---|---|---|
Заражение вредоносным программным обеспечением
из-за
возможности проведения межсайтовой подделки запроса CSRF
в веб-сайте
Доступность
Конфиденциальность
Отказ в обслуживании
Повышение привилегий
Раскрытие информации
Целостность
Искажение
|
1
|
|
Раскрытие ключей (паролей) доступа
из-за
возможности проведения межсайтовой подделки запроса CSRF
в веб-сайте
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
1
|
|
Несанкционированный доступ к корпоративному публичному сервису из интернета
из-за
наличия технических (программных) уязвимостей
в веб-сервере
НСД
|
1
|
|
Несанкционированный доступ к корпоративному публичному сервису из интернета
из-за
наличия технических (программных) уязвимостей
в веб-сайте
НСД
|
1
|
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.