HTTP Header Leakage - Cybersecurity
banner iklan

HTTP Header Leakage

HTTP Header Leakage adalah suatu aktifitas serangan yang memungkinkan pada sebuah situs web dapat membocorkan permintaan HTTP. Kebocoran pada CSP browser, web-mailer dan segala sesuatu yang tidak seharusnya mengirim permintaan HTTP dalam satu file HTML tunggal. Kebocoran ini pada dasarnya merujuk pada suatu situasi, di mana kombinasi elemen HTML dan atribut tertentu menyebabkan request ke external resource, yang padahal seharusnya tidak dilakukan.

HTTP Header Leakage
HTTP Header Leakage

Impact:

  • Serangan ini memungkinkan penyerang untuk masuk ke dalam aplikasi dengan hak akses administratif, tanpa menggunakan username dan password yang valid.
  • Melakukan Modifikasi Data, melalui teknik serangan ini penyerang juga dapat melakukan perubahan terhadap konten data yang tersimpan di dalam basis data, atau memanfaatkan celah keamanan ini untuk memasukan konten yang berbahaya ke dalam halaman web.
  • Serangan ini memungkinkan penyerang untuk memperoleh informasi mengenai tipe dan struktur basis data back-end dari sebuah aplikasi berbasis web.


Recommendation:
  1. Dalam konfigurasi server web, pastikan untuk menonaktifkan header respons HTTP yang mengungkapkan teknologi server, bahasa, dan versi apa yang d jalankan
  2. Cobalah untuk menghindari sufiks file dalam URL seperti .php, .asp dan .jsp - sebagai gantinya, implementasikan clean URL
  3. Pastikan tidak ada sent-back cookie yang memberikan petunjuk tentang tumpukan teknologi. Ini termasuk nama-nama pada tanda parameter, yang harus dibuat se-generik mungkin.
  4. Menonaktifkan error reporting pada sisi klien.
  5. Pastikan bahwa halaman dan respons AJAX hanya mengembalikan data yang dibutuhkan. Jika memungkinkan, ID database harus dikaburkan dan jika menyimpan data sensitif untuk user, pastikan itu hanya dikirim ke sisi klien dalam konteks di mana boleh dibagikan.
  6. Melakukan tinjauan kode dan menggunakan static analisys tool untuk memastikan data sensitif tidak berakhir dalam komentar atau dead code yang diteruskan ke klien.
  7. Pastikan Konfigurasi yang Benar dari Direktori Web Root yaitu memastikan untuk memisahkan direktori publik dan konfigurasi, dan pastikan semua orang di tim Anda mengetahui perbedaannya.

1. Tidak semua pertanyaan dapat dijawab.
2. Komentar mengandung link akan otomatis terhapus.
3. Kode emoticon » :) :D :p :v :3 :x :| :cool: :sorry: :sip: :email: :bingung: