Zauważyłem, że panel nie wysyła kluczowych nagłówków bezpieczeństwa, m.in.:
HSTS (HTTP Strict Transport Security) – nagłowek odpowiadający za informowanie przeglądarki, że do daty wyrażonej w sekundach od teraz, powinna łączyć tylko i wyłącznie się po protokole HTTPS;
CSP (Content Security Policy) – nagłówek, który z góry narzuca przeglądarce, z jakich źródeł może pobierać zasoby (np. fonty, cssy, skrypty javascript itd.), co znacznie utrudnia atak typu XSS.
Włączenie HSTS to kwestia przełączenia jednego przełącznika w Cloudflare z którego lvlup.pro zresztą korzysta.
Dodanie CSP może być nieco bardziej złożone, w zależności z jakich zasobów zewnętrznych korzysta lvlup.pro i dodanie domen do dozwolonych list lub przeniesienie ich na domenę lvlup.pro
Wyżej wymieniłem jedynie te najistotniejsze. Istnieją jeszcze takie jak:
X-Frame-Options – można łatwo zablokować atak typu clickjacking, ktory może być bardzo niebezpieczny!
Referer-Policy – można ustawić blokowanie wysyłanie nagłowka referer przy kliknięciu w link. To bardziej do wdrozenia (jeżeli jeszcze nie zostało wdrożone) dla panelu administracyjnego ticketów obsługi lvlup, żeby nie zdradzać adresu systemu ticketów, gdy obsługa otworzy (złośliwego?) linka, który taki Referer zapisuje.
X-XSS-Protection – przeglądarki mają wbudowany system wykrywania XSS. Jeżeli wykryją taki atak to skrypt zostanie zablokowany automatycznie przez przeglądarkę, jednak nagłówek musi być wysłany, żeby opcja została aktywowana.
Z tej całej listy z tego co pamiętam konfigurowałem przynajmniej X-Frame-Options ale z tego co widzę nie jest on obecnie wysyłany do usera
Możliwe, że jakaś po drodze wprowadzona zmiana go wycina.
Przyjrzę się temu.
Content-Security-Policy z wartością “frame-ancestors ‘none’”
Okazało się, że wkleiłem je nie w tą sekcję konfiguracji serwera http co trzeba
Oznaczam wątek jako rozwiązany gdyż obecnie jest już okej, ale może przy okazji spróbuję wprowadzić jeszcze inne nagłówki o których wspominałeś więc daję długi czas do zamknięcia.
