Drošības galveņu analizators

🧩 Tehniskās detaļas

Ko šis rīks dara

Analizators pa SSRF-drošu ceļu iegūst HTTP atbildes galvenes, izvērtē būtiskās pārlūka drošības politikas un aprēķina vērtējumu ar konkrētām labošanas norādēm.

Kā interpretēt katru lauku

• Rezultāta kopsavilkums: Kopējais vērtējums un drošības galveņu veselības klase.
• Pārskata kartītes: Galīgais URL, statusa kods, trūkstošās galvenes un vērtējums.
• Tehniskās detaļas: Pāradresāciju ķēde un normalizēta galveņu karte.
• Neapstrādātā izvade: Strukturēti JSON pierādījumi audita procesiem.
• Ieteikumi: Labošanas darbības galveni pa galvenei.

Biežākās problēmas un simptomi

1. HTTPS atbildēs trūkst strict-transport-security.
2. Vāja vai neesoša content-security-policy, kas atļauj skriptu injekcijas ceļus.
3. Nav x-content-type-options, kas palielina MIME sniffing risku.
4. Trūkst clickjacking aizsardzības (x-frame-options / CSP frame politikas).
5. Vides novirze, kur edge un lietotne iestata konfliktējošas galveņu vērtības.

Kā soli pa solim novērst problēmas

1. Definējiet bāzes galveņu politiku edge reversajā starpniekserverī.
2. Saskaņojiet lietotnes līmeņa pārrakstīšanas, lai izvairītos no dublikātu konfliktiem.
3. Ieviesiet stingrāku CSP pakāpeniski, sākot ar report-first režīmu.
4. Pārbaudiet, ka katrs pāradresācijas mērķis saglabā tās pašas aizsardzības.
5. Pārtestējiet un sekojiet vērtējuma izmaiņām pēc katras izvietošanas.

Nākamie soļi

• Atvērt saistīto rīku A
• Atvērt saistīto rīku B
• Atpakaļ uz kategoriju