Network Security Channel

تقویت امنیت وبسایت با پیکربندی و پیاده سازی HTTP Response Header با پیکربندی مناسب این هدر ها میشه از آسیب پذیری هایی مثل : hashtag#clickjacking hashtag#xss ,افشای اطلاعات و … محافظت کرد. HTTP Security Response Headers • X-Frame-Options Recommendation: X-Frame-Options: DENY • X-XSS-Protection Recommendation: X-XSS-Protection: 0 • X-Content-Type-Options Recommendation: X-Content-Type-Options: nosniff • Referrer-Policy Recommendation: Referrer-Policy: strict-origin-when-cross- origin • Content-Type Recommendation: Content-Type: text/html; charset=UTF-8 نکته: charset برای جلوگیری از حملات xss در صفحات وب ضروریه نکته: Content-Type میتونه هر hashtag#MIME_type باشه • Set-Cookie Recommendation: https://lnkd.in/d84UmEV3 • Strict-Transport-Security (HSTS) Recommendation: Strict-Transport-Security: max-age=63072000; includeSubDomains; preload نکته: قبل از اعمال این گزینه لینک زیر رو مطالعه کنید. https://lnkd.in/daMtrk6n • Expect-CT Recommendation: Do not use it. • Content-Security-Policy (CSP) Recommendation: • Access-Control-Allow-Origin Recommendation: Access-Control-Allow-Origin: https://yoursite.com نکته : اگر از hashtag#api استفاده میکنید ،شاید لازم باشه ‘*’ رو جایگزین کنید. • Cross-Origin-Opener-Policy (COOP) Recommendation: HTTP Cross-Origin-Opener-Policy: same-origin • Cross-Origin-Embedder-Policy (COEP) Recommendation: Cross-Origin-Embedder-Policy: require-corp یا <img src="https://lnkd.in/dm_qBgM9" crossorigin> • Cross-Origin-Resource-Policy (CORP) Recommendation: Cross-Origin-Resource-Policy: same-site • Permissions-Policy (formerly Feature-Policy) Recommendation: Permissions-Policy: geolocation=(), camera=(), microphone=() نکته : سیاستگذاری های بالا مثال هستند • FLoC (Federated Learning of Cohorts) Recommendation: Permissions-Policy: interest-cohort=() • Server Recommendation: Server: webserver این هدر را حذف کنیدیا بدون اطلاعات وب سرور ثبت کنید • X-Powered-By Recommendation: همه این هدر ها رو حذف کنید. • X-AspNet-Version Recommendation: <httpRuntime enableVersionHeader="false" /> • X-AspNetMvc-Version Recommendation: تمام این هدر ها رو حذف کنید یا غیر فعال MvcHandler.DisableMvcResponseHeader = true; • X-DNS-Prefetch-Control Recommendation: X-DNS-Prefetch-Control: off • Public-Key-Pins (HPKP) Recommendation هرگز از این hashtag#هدر استفاده نکنید. پیکربندی x-Frame در hashtag#تکنولوژی ها( hashtag#وب_سرور های مختلف) PHP header("X-Frame-Options: DENY"); Apache <IfModule mod_headers.c> Header always set X-Frame-Options "DENY" </IfModule> IIS <system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="DENY" /> </customHeaders> </httpProtocol> ... </system.webServer> Nginx add_header "X-Frame-Options" "DENY" always; hashtag #webpentest #hashtag #cybersecurity hashtag #websecurity_ashtag #httpheader hashtag #website hashtag #https hashtag#امنیت_وب_سایت

تقویت امنیت وبسایت با پیکربندی و پیاده سازی HTTP Response Header با پیکربندی مناسب این هدر ها میشه از آسیب پذیری هایی مثل : hashtag#clickjacking hashtag#xss ,افشای اطلاعات و … محافظت کرد. HTTP Security Response Headers • X-Frame-Options Recommendation: X-Frame-Options: DENY • X-XSS-Protection Recommendation: X-XSS-Protection: 0 • X-Content-Type-Options Recommendation: X-Content-Type-Options: nosniff • Referrer-Policy Recommendation: Referrer-Policy: strict-origin-when-cross- origin • Content-Type Recommendation: Content-Type: text/html; charset=UTF-8 نکته: charset برای جلوگیری از حملات xss در صفحات وب ضروریه نکته: Content-Type میتونه هر hashtag#MIME_type باشه • Set-Cookie Recommendation: https://lnkd.in/d84UmEV3 • Strict-Transport-Security (HSTS) Recommendation: Strict-Transport-Security: max-age=63072000; includeSubDomains; preload نکته: قبل از اعمال این گزینه لینک زیر رو مطالعه کنید. https://lnkd.in/daMtrk6n • Expect-CT Recommendation: Do not use it. • Content-Security-Policy (CSP) Recommendation: • Access-Control-Allow-Origin Recommendation: Access-Control-Allow-Origin: https://yoursite.com نکته : اگر از hashtag#api استفاده میکنید ،شاید لازم باشه ‘*’ رو جایگزین کنید. • Cross-Origin-Opener-Policy (COOP) Recommendation: HTTP Cross-Origin-Opener-Policy: same-origin • Cross-Origin-Embedder-Policy (COEP) Recommendation: Cross-Origin-Embedder-Policy: require-corp یا <img src="https://lnkd.in/dm_qBgM9" crossorigin> • Cross-Origin-Resource-Policy (CORP) Recommendation: Cross-Origin-Resource-Policy: same-site • Permissions-Policy (formerly Feature-Policy) Recommendation: Permissions-Policy: geolocation=(), camera=(), microphone=() نکته : سیاستگذاری های بالا مثال هستند • FLoC (Federated Learning of Cohorts) Recommendation: Permissions-Policy: interest-cohort=() • Server Recommendation: Server: webserver این هدر را حذف کنیدیا بدون اطلاعات وب سرور ثبت کنید • X-Powered-By Recommendation: همه این هدر ها رو حذف کنید. • X-AspNet-Version Recommendation: <httpRuntime enableVersionHeader="false" /> • X-AspNetMvc-Version Recommendation: تمام این هدر ها رو حذف کنید یا غیر فعال MvcHandler.DisableMvcResponseHeader = true; • X-DNS-Prefetch-Control Recommendation: X-DNS-Prefetch-Control: off • Public-Key-Pins (HPKP) Recommendation هرگز از این hashtag#هدر استفاده نکنید. پیکربندی x-Frame در hashtag#تکنولوژی ها( hashtag#وب_سرور های مختلف) PHP header("X-Frame-Options: DENY"); Apache <IfModule mod_headers.c> Header always set X-Frame-Options "DENY" </IfModule> IIS <system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="DENY" /> </customHeaders> </httpProtocol> ... </system.webServer> Nginx add_header "X-Frame-Options" "DENY" always; hashtag#webpentest hashtag#cybersecurity hashtag#websecurity hashtag#httpheader hashtag#website hashtag#https hashtag#امنیت_وب_سایت

GRC Analyst Master Class source => https://academy.tcm-sec.com/p/grc @Engineer_Computer

TCM |Open-Source Intelligence (OSINT) Fundamentals source => https://academy.tcm-sec.com/p/osint-fundamentals @Engineer_Computer

Windows Privilege Escalation for Beginners source => https://academy.tcm-sec.com/p/windows-privilege-escalation-for-beginners @Engineer_Computer

Windows Privilege Escalation for Beginners source => https://academy.tcm-sec.com/p/windows-privilege-escalation-for-beginners @Engineer_Computer

GRC Analyst Master Class source => https://academy.tcm-sec.com/p/grc @Engineer_Computer

TCM |Open-Source Intelligence (OSINT) Fundamentals source => https://academy.tcm-sec.com/p/osint-fundamentals @Engineer_Computer