X-Frame-Options ale z tego co widzę nie jest on obecnie wysyłany do usera 
Możliwe, że jakaś po drodze wprowadzona zmiana go wycina.
Przyjrzę się temu.
Axerr | 2022-08-20 15:11:59 UTC | #1
Dzień dobry,
Zauważyłem, że panel nie wysyła kluczowych nagłówków bezpieczeństwa, m.in.:
- HSTS (HTTP Strict Transport Security) – nagłowek odpowiadający za informowanie przeglądarki, że do daty wyrażonej w sekundach od teraz, powinna łączyć tylko i wyłącznie się po protokole HTTPS;
- CSP (Content Security Policy) – nagłówek, który z góry narzuca przeglądarce, z jakich źródeł może pobierać zasoby (np. fonty, cssy, skrypty javascript itd.), co znacznie utrudnia atak typu XSS.
Włączenie HSTS to kwestia przełączenia jednego przełącznika w Cloudflare z którego lvlup.pro zresztą korzysta.
Dodanie CSP może być nieco bardziej złożone, w zależności z jakich zasobów zewnętrznych korzysta lvlup.pro i dodanie domen do dozwolonych list lub przeniesienie ich na domenę lvlup.pro
Serdecznie życzę miłego dnia,
Axerr :)
Axerr | 2022-07-26 01:04:15 UTC | #2
Wyżej wymieniłem jedynie te najistotniejsze. Istnieją jeszcze takie jak:
- X-Frame-Options – można łatwo zablokować atak typu clickjacking, ktory może być bardzo niebezpieczny!
- Referer-Policy – można ustawić blokowanie wysyłanie nagłowka referer przy kliknięciu w link. To bardziej do wdrozenia (jeżeli jeszcze nie zostało wdrożone) dla panelu administracyjnego ticketów obsługi lvlup, żeby nie zdradzać adresu systemu ticketów, gdy obsługa otworzy (złośliwego?) linka, który taki Referer zapisuje.
- X-XSS-Protection – przeglądarki mają wbudowany system wykrywania XSS. Jeżeli wykryją taki atak to skrypt zostanie zablokowany automatycznie przez przeglądarkę, jednak nagłówek musi być wysłany, żeby opcja została aktywowana.
SystemZ | 2022-07-27 17:01:32 UTC | #3
Hej, dzięki za sugestie.
Z tej całej listy z tego co pamiętam konfigurowałem przynajmniej X-Frame-Options ale z tego co widzę nie jest on obecnie wysyłany do usera
Możliwe, że jakaś po drodze wprowadzona zmiana go wycina.
Przyjrzę się temu.
SystemZ | 2022-08-20 15:13:11 UTC | #4
Przy okazji ostatniej aktualizacji:
https://forum.lvlup.pro/t/dziennik-zmian-lvlup-pro-2022/20367/44?u=systemz
naprawiłem:
- X-Frame-Options
- Content-Security-Policy z wartością “frame-ancestors ‘none’“
Okazało się, że wkleiłem je nie w tą sekcję konfiguracji serwera http co trzeba :man_facepalming:
Oznaczam wątek jako rozwiązany gdyż obecnie jest już okej, ale może przy okazji spróbuję wprowadzić jeszcze inne nagłówki o których wspominałeś więc daję długi czas do zamknięcia.