Content-Security-Policy voci sospette nel registro

Naviga le tue risposte
2

Ho impostato l'intestazione Content-Security-Policy-Report-Only e sto a report-uri ottenendo un numero relativamente elevato (diverse centinaia al mese) di richieste non riuscite su img-src per URL sospetti: 

https://netanalytics.xyz/metric/
https://netanalitics.space/metric/
https://glganltcs.space

ce ne sono anche alcuni che sembrano ancora più compromessi: 

script-src on https://etgfsiwxsbxr.ru/d6safundjenk6af/29915.js
connect-src on http://gj.track.uc.cn/collect

e persino alcuni supposti accessi di stile per i caratteri?! 

{
    "csp-report": {
        "blocked-uri": "https://fonts.googleapis.com",
        "document-uri": "https://biciklijade.com/",
        "original-policy": "default-src 'none'; manifest-src https://biciklijade.com; script-src https://biciklijade.com; style-src https://biciklijade.com; connect-src https://biciklijade.com; form-action https://biciklijade.com; img-src https://biciklijade.com https://*.tile.openstreetmap.org https://*.tile.osm.org data:; report-uri https://biciklijade.report-uri.com/r/d/csp/reportOnly",
        "violated-directive": "style-src"
    }
}

Nota che al massimo posso specificare CSS body { font: 16px/21px Arial, "Helvetica Neue", Helvetica, sans-serif; } senza mai specificare src per scaricare i font da google (o da chiunque altro), quindi i browser IMHO non dovrebbero mai connettersi a google per ottenerli, giusto?

Ho controllato il codice e i database per assicurarmi che non siano stati incrinati, e sembrano tutti a posto. Anche l'esplorazione del sito da Firefox e Chromium con la console di sviluppo aperta non sembra attivare alcuna violazione CSP. Il sito è per lo più fatto a mano e non dovrebbe utilizzare alcuna analisi.

Domanda 1: qualcuno di quelli ti sembra legittimo? Non lo fanno a me; e mi piacerebbe spostare CSP dal solo rapporto al blocco reale

Domanda 2: Se questi sono in realtà accessi non legittimi, è possibile che vengano tutti da client crackizzati, invece che da un sito Web infetto? Ho già controllato, e il sito web sembra pulito, ma vorrei alcune rassicurazioni che anche altre persone vedessero cose del genere.

    
posta Matija Nalis 24.05.2018 - 02:54
fonte

1 risposta

1

Question 1: Do any of those look legitimate to you?

Sì, sembrano legittimi. Ci sono alte probabilità che siano dovute ad alcuni plugin del browser. Alcuni plug-in immettono codice nella dom che si tradurrà in tali violazioni.
Potrebbe essere possibile che i tuoi utenti utilizzino tali plugin. (Personalmente ho trovato tali plugin abbastanza comuni e usati da molti)

I'd like to move CSP from report-only to real blocking

Sarebbe fantastico. Tuttavia, è necessario valutare tutti gli scenari e una corretta azione in atto nel caso in cui effettivamente sta accadendo a causa del codice. (Oppure, la risorsa verrà bloccata e il sito non sarà più utilizzabile)

  • Suggerisco di testare tutte le pagine e in più browser prima di passare alla modalità blocco.
  • Inoltre, sarebbe fantastico se la modalità potesse essere cambiata senza molto sforzo. Voglio dire, se il runtime ha un problema, dovresti riuscire a farlo con tempi di fermo trascurabili.

Question 2: If those are indeed non-legitimate accesses, is it possible they all come from cracked clients, instead of infected website?

Non ho molta esperienza in questa parte.

Nota a margine, potresti esplorare la possibilità di supportare solo i client che supportano CSP. Per gli altri, puoi bloccare o solo visualizzare un messaggio di errore. (Di nuovo, questo è specifico per il tuo utilizzo. Per verificare questa parte, puoi raccogliere i dettagli del cliente per le prime settimane / mesi e poi decidere se seguire questa strategia)

Further Reading

Ho trovato il blog Dropbox molto utile nell'introduzione di una strategia nel filtrare i report e passare al blocco. Potresti trovarlo utile: Blog Dropbox su CSP

    
risposta data 24.05.2018 - 06:10
fonte

Leggi altre domande sui tag

Gli EKU extra hanno impostato nel certificato client un rischio per la sicurezza? La modifica della lunghezza del bit di scambio chiavi TLS Diffie-Hellman da 1024 a 2048 causa problemi di compatibilità client / browser?