Halaman

Jumat, 26 Juli 2024

Security Headers Nginx server

Udah lama bener ga posting. Well, lagi ramai hacking/deface web2/aplikasi pemerintah (go.id) yang di inject dengan konten Judi Online, Togel, Judol, Slot Gacor dan lain2 lagi... 

Kenapa banyak yang kena dampak ya? 

Salah satunya karna pengamanan yang lemah, script yang tidak di update/di maintenance atau bisa juga miss-configurasi server yang terkesan asal jalan aja. 

Ga ada maksud menghakimi, tapi ane sendiri masih dalam proses belajar, dan kadang elmu yang udah dipelajari menguap gitu aja. Salah satu nya ini nih bro : 

Security Headers! 


Yup!!!.... dulu udah sering baca dan seting konfig ini, tapi lupa mulu, and kali ini buat catatan biar ane ga ngubek2 lagi nyari di google.

... btw ane pake nginx buat proxy server.


contoh nya ane coba cek salah satu subdomain client yang ane dev :

Score nya F.... wew, akhirnya mau ga mau ubek2 lagi elmu yang udah lama lupa.
Fiuuuh,,, di config nginx, ane tambahin add_header kayak gini :

add_header X-Xss-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
proxy_hide_header X-Powered-By;
add_header 'Referrer-Policy' 'no-referrer';
add_header Content-Security-Policy upgrade-insecure-requests;
add_header Permissions-Policy "accelerometer=();ambient-light-sensor=(); autoplay=();camera=();encrypted-media=();focus-without-user-activation=(); geolocation=();gyroscope=();magnetometer=();microphone=();midi=();payment=();picture-in-picture=(); speaker=();sync-xhr=();usb=();vr=()";

Tolong jangan minta jelasin satu2 perbaris nya. males ngetik.... googling aja ya bro...

btw setelah ane tambahin header ini, hasilnya jadi A+




Tidak ada komentar:

Posting Komentar