Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

Δωρεάν Ανάλυση Τίτλων Ασφαλείας

Πληροφορίες

Δωρεάν Ανάλυση Επικεφαλίδων Ασφαλείας

Οι κεφαλίδες ασφαλείας είναι κεφαλίδες απόκρισης HTTP που στέλνει ο διακομιστής ιστού σας στο πρόγραμμα περιήγησής σας, προστατεύοντας τον ιστότοπό σας από διάφορους τύπους επιθέσεων. Αυτό το δωρεάν εργαλείο υποβάλλει ερώτημα στον διακομιστή για έξι κρίσιμες κεφαλίδες ασφαλείας στη διεύθυνση URL που εισάγετε. Παραθέτει την παρουσία, την τιμή και μια σύντομη σύσταση για καθεμία και, στη συνέχεια, δίνει μια συνολική βαθμολογία ασφαλείας από A+ έως F.

Τα θέματα που αναλύονται είναι τα εξής: Αυστηρή Ασφάλεια Μεταφορών (HSTS) Κάνει τον ιστότοπο προσβάσιμο μόνο μέσω HTTPS. Πολιτική-Ασφάλειας-Περιεχομένου (CSP) Αποτρέπει τις επιθέσεις XSS καθορίζοντας ποιοι πόροι μπορούν να φορτωθούν. Επιλογές X-Frame Προστατεύει από το clickjacking εμποδίζοντας την εμφάνιση του ιστότοπού σας στα iframe άλλων ιστότοπων. Επιλογές τύπου περιεχομένου X Απενεργοποιεί την πρόβλεψη τύπου MIME. Πολιτική παραπομπής Ελέγχει ποιες πληροφορίες παραπομπής επισκεπτών κοινοποιούνται σε τρίτους. Πολιτική δικαιωμάτων Περιορίζει την πρόσβαση σε λειτουργίες του προγράμματος περιήγησης, όπως η κάμερα, το μικρόφωνο και η τοποθεσία.

Η προσθήκη αυτών των κεφαλίδων καθιστά τον ιστότοπό σας πολύ πιο ανθεκτικό έναντι κοινών ευπαθειών στην ασφάλεια του ιστού, όπως το XSS, το clickjacking, το MIME sniffing, η διαρροή δεδομένων και η μη εξουσιοδοτημένη πρόσβαση API. Τα αποτελέσματα υποβάλλονται σε ερώτημα σε πραγματικό χρόνο μέσω του διακομιστή μας. Οι τοπικές και ιδιωτικές διευθύνσεις δικτύου αποκλείονται για λόγους ασφαλείας.

Πώς να το χρησιμοποιήσετε;

Βήμα βήμα

Η διεύθυνση του ιστότοπου που θέλετε να ελέγξετε https://example.com Εισαγάγετε το σε αυτήν τη μορφή.
Αναλύω Κάντε κλικ στο κουμπί και ο διακομιστής μας θα στείλει ένα αίτημα στον ιστότοπό σας.
Για κάθε κράνος ασφαλείας ρεύμα (πράσινο) ή λείπει (κόκκινο) Εμφανίζεται η κατάσταση και μια σύντομη πρόταση.
Στο επάνω μέρος της σελίδας γενική σημείωση ασφαλείας (Εμφανίζονται βαθμοί που κυμαίνονται από A+ έως F. Μπορείτε να βελτιώσετε τη βαθμολογία σας προσθέτοντας τις επικεφαλίδες που λείπουν στη διαμόρφωση του διακομιστή σας.)
Η αξία των υπαρχόντων τίτλων αντίγραφο Μπορείτε να το προσθέσετε στο πρόχειρό σας χρησιμοποιώντας το κουμπί.

FAQ

Συχνές ερωτήσεις

Οι κεφαλίδες ασφαλείας υποδεικνύουν στο πρόγραμμα περιήγησης πώς να χειριστεί τον ιστότοπό σας. Όταν διαμορφώνονται σωστά, δημιουργούν ένα αποτελεσματικό επίπεδο άμυνας έναντι συνηθισμένων επιθέσεων όπως XSS (cross-site scripting), clickjacking, MIME sniffing, διαρροή πληροφοριών παραπομπής και μη εξουσιοδοτημένη πρόσβαση σε λειτουργίες του προγράμματος περιήγησης.

Αυτό το εργαλείο ελέγχει 6 κρίσιμες επικεφαλίδες: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy και Permissions-Policy. Εάν όλες υπάρχουν και η απόκριση είναι επιτυχής, απονέμεται βαθμός A+.

Σε διακομιστές Apache mod_headers με .htaccess ή httpd.conf στο αρχείο Σύνολο κεφαλίδων Μπορείτε να προσθέσετε οδηγίες στο Nginx. προσθήκη_κεφαλίδας Χρησιμοποιείται η ακόλουθη οδηγία. Πρόσθετα ασφαλείας για WordPress ή .htaccess Αυτή η διάταξη είναι επαρκής.

Η Πολιτική-Ασφάλειας-Περιεχομένου ορίζει ποιοι τομείς και πηγές μπορούν να ανεβάσουν σενάρια, στυλ, εικόνες κ.λπ. Η εσφαλμένη διαμόρφωση μπορεί να προκαλέσει βλάβη στον ιστότοπο. Επομένως, είναι σημαντικό πρώτα να... Μόνο αναφορά πολιτικής ασφαλείας περιεχομένου Συνιστάται η δοκιμή σε λειτουργία αναφοράς με τον τίτλο.

Ορισμένοι διακομιστές ενδέχεται να μπλοκάρουν αιτήματα από bot, να ανταποκρίνονται πολύ αργά και να έχουν όριο χρόνου ή να χρησιμοποιούν μη έγκυρα πιστοποιητικά SSL. Επίσης, για λόγους ασφαλείας, δεν είναι δυνατή η υποβολή ερωτημάτων σε τοπικό δίκτυο και ιδιωτικές διευθύνσεις IP (localhost, 192.168.x, κ.λπ.).

Δωρεάν Ανάλυση Επικεφαλίδων Ασφαλείας

Δωρεάν Ανάλυση Επικεφαλίδων Ασφαλείας

Βήμα βήμα

Συχνές ερωτήσεις

Γιατί είναι σημαντικά τα κράνη ασφαλείας;

Ποια μαθήματα πρέπει να περάσουν πλήρως για να λάβω βαθμό Α+;

Πώς μπορώ να προσθέσω επικεφαλίδες;

Γιατί είναι τόσο περίπλοκη η κεφαλίδα CSP;

Γιατί δεν λαμβάνω αποτελέσματα σε ορισμένους ιστότοπους;