はじめに
前回に引き続きウェブアプリケーションの脆弱性診断です。
observatoryも使ってみました。
observatoryとは
mozillaが提供している脆弱性診断サービスです。
URLを入力するだけで100点満点で採点してくれます。とっても手軽です。
スコア表
診断
使い方は簡単。
ここにアクセスして、診断対象のURLを入力するだけ。
結果と対策
55点。。
結果が見やすいですね。
Laravelでの対策はこちらを参考にさせてもらいました。
CSPの設定
下記で設定したところ、さらに引っかかりました。
content-security-policy: style-src 'self'
- Blocks execution of inline JavaScript by not allowing 'unsafe-inline' inside script-src
javascriptやcssのリソースを制限する指定です。ここで指定したリソースのみ許可されます。
'unsafe-inline'は攻撃の対象となってしまうので、推奨はされないようですが、ワンタイムのハッシュを用意するのが面倒なので、'unsafe-inline'を設定します。
selfも許可したいのでこんな感じです。
Content-Security-Policy: script-src 'self' 'unsafe-inline'
- Blocks execution of plug-ins, using object-src restrictions
オブジェクト(画像など)のリソースを制限する指定です。ここで指定したリソースのみ許可されます。
selfのみ許可します。
Content-Security-Policy: object-src 'self'
- Clickjacking protection, using frame-ancestors