Нам прислали письмо вот с таким текстом: Анализ сведений об угрозах безопасности информации показывает,
что зарубежными хакерскими группировками при реализации компьютерных атак
на информационную инфраструктуру Российской Федерации активно
эксплуатируются уязвимости программного обеспечения.
С целью предотвращения реализации угроз безопасности информации,
связанных с эксплуатацией уязвимостей, просим обратить внимание
на необходимость устранения уязвимостей веб-приложений официальных сайтов,
связанных с реализацией атак межсайтового скриптинга.
В целях предотвращения возможности реализации атак мсжсайтового
скриптинга на официальные сайты органов государственной власти рекомендуется
принять следующие дополнительные меры;
использовать фреймворки (программные платформы) с автоматической
проверкой и преобразованием пользовательских данных;
по возможности указывать кодировку на каждой веб-странице;
использовать проверку входных данных по «белым спискам» (осуществлять
проверку полей для всех входных данных, включая заголовки, cookies, строки
запросов, скрытые поля, а также длины полей форм, их тип, синтаксис, допустимые
символы и другие правила, прежде чем принять данные, которые будут сохранены
и отображены на сайте);
использовать межсетевые экраны уровня веб-приложений (Web Application Firewall);
использовать политику защиты содержимого (Content Security Policy, CSP);
использовать заголовок X-XSS-Protection, предназначенный для фильтра межсайтового скриптинга, встроенного во всех современных браузерах, путем установки значения «1; mode= block» и внесения изменений следующего содержания:
для веб-сервера Apache в файле дополнительной конфигурации .htaccess необходимо добавить следующую запись:
<ifModule mod_headers.с>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
для веб-сервера Nginx необходимо дополнить файл nginx.conf в разделе HTTP записью:
add_header X-XSS-Protection "1; mode-block”;
для веб-серверов, поддерживающих РНР, необходимо использовать следующую функцию:
< ?php header ("X-XSS-Protection: 1; mode - block); ? >;
проводить анализ ограничений XSS-защиты в зависимости от используемого фреймворка и обеспечить соответствующую обработку возникающих исключительных ситуаций;
при хранении в cookie-файлах защищаемых данных (таких, как идентификатор сессии пользователя) установить для таких cookie-файлов значение флага «httpOnly» равное «true» (дополнительный флаг для НТТР-заголовка Sct-Cookie, который указывает на запрет чтения/записи данных Cookie посредством JavaScript);
использовать экранирование входных (выходных) данных, путём применения встроенных функций для очистки кода от вредоносных скриптов, такие как htmlspecialchar(), htmlentities() и strip_tags().
Кроме того, с целью повышения защищенности веб-приложений официальных сайтов органов государственной власти, необходимо обратить внимание на применение защищенного соединения. В этих целях рекомендуется принять следующие меры:
соединение веб-сервера с агентами пользователя должно осуществляться по протоколу прикладного уровня HTTPS (защищенное соединение устанавливается с идентификатором протокола (URI scheme) HTTPS на ТСР/443 с использованием протокола защиты транспортного уровня TLS версии 1.2 (с поддержкой версии 1.3) с расширением Extended Master Secret и поддержкой псевдошифронабора Fallback Signaling Cipher Suite Value);
запретить сжатие данных па уровне протокола защиты транспортного уровня (TLS compression) на веб-сервере;
осуществлять только безопасное пересогласование по инициативе сервера (server initiated secure renegotiation) параметров и ключевого материала защищенного соединения;
использовать для создания сеансовых ключей только одноразовый (ephemeral) ключ и не использовать стандартные Diffie-Heliman-группы;
осуществлять передачу веб-сервером агентам пользователя НТТР-заголовка HTTP Strict Transport Security (HSTS) со следующими директивами:
max-age со значением не менее 1;
inсludeSubDomeins;
обеспечить передачу веб-сервером агентам пользователя НТТР-заголовка Content Security Policy с директивой upgrade-insecure-requests.
Вместе с тем обращаю внимание, что защита информации в официальных сайтах органов государственной власти должна осуществляться в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также установленными в соответствии с ним Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31.08.2010 № 416/489.
Необходимо принять меры к устранению вышеуказанных уязвимостей.
Контент-модули
Продвижение сайта
Управление сайтом