Skip to main content
  1. Blogposts/

Exempel på csp-header 📝

·514 words·3 mins· loading · loading · ·
Rasmus
Author
Rasmus
Att dela en ide eller två kan vara bra för hjärnan
Table of Contents

Content-Security-Policy: frame-ancestors ‘self’;


---

## 🧩 **Pre-Account Takeover: När hackaren "gifter sig" med ditt konto**
### 🔍 Kontosammanslagning – ett farligt bröllop
Tänk dig att någon skapar ett konto med din mail (utan att du vet) och sen loggar in via Facebook med samma mail. Plötsligt gifts era konton – och hackaren har full kontroll!

### ⚙️ Attackens steg:
1. Hackaren registrerar ett konto med din overifierade e-post.
2. Du loggar in via en tjänst som Google.
3. Systemet slår automatiskt ihop kontona – hackarens och ditt.

### 🛡️ Så försvarar du dig:
- **Verifiera alltid mail** innan den kopplas till ett konto.
- **Ha separata inloggningar** för externa tjänster.

---

## 🔑 **Tokenläckage: Nyckeln till ditt digitala hem**
### 🔍 När inloggningstoken hamnar i fel händer
Det är som att ha en reservnyckel under dörrmattan – om ett API av misstag läcker din token i ett svar, kan hackaren logga in som dig utan lösenord!

### ⚙️ Så sker det:
1. Hackaren skickar en API-förfrågan med din mail.
2. Svaret innehåller en giltig token.
3 *Bom* – nu har de tillgång till ditt konto.

### 🛡️ Lösning:
- **Hantera tokens** med kort utgångstid.
- **Använd** OAuth 2.0 med PKCE för säkra API-anrop.

---

## 🎯 **OAuth Code Leakage: En omdirigering till kaos**
### 🔍 En lurig URL-fälla
När du loggar in via Facebook eller Google kan en manipulerad `redirect_uri` skicka autentiseringskoden till en hackares sida – som att flytta din brevlåda till grannens garage.

### 🛡️ Så stoppar du det:
- **Dubbelkolla** alla `redirect_uri`-värden.
- **Använd** dynamiska klientregistreringar för att undvika fasta omdirigeringar.

```yaml
# Exempel på säker OAuth-inställning
oauth:
  redirect_uris:
    - "https://din-sida.se/auth/callback"
  allow_wildcards: false

📬 Host Header Poisoning: En förfalskad adresslapp
#

🔍 När återställningslänken hamnar hos fel person
#

Genom att ändra Host-huvudet kan en hackare få din återställningslänk att peka mot deras server – som att skriva fel adress på ett paket så det hamnar hos dem.

🛡️ Motdrag:
#

  • Kontrollera alltid Host-huvudet på servern.
  • Använd fullständiga URL:er istället för att lita på Host.

🧪 Clickjacking + CSRF: Dubbeltrubbel
#

🔍 Två i ett
#

Här används ett osynligt iframe för att både lura dig att klicka och köra en CSRF-aktion – som att ändra din mail via ett gömt formulär.

🛡️ Försvar:
#

  • Lägg till CSRF-tokens i alla formulär.
  • Använd SameSite-attribut för cookies.

🛡️ SAML Assertion Bypass: Falskt ID-kort
#

🔍 När hackaren fejkar din digitala identitet
#

Genom att skicka en osignerad SAML-respons kan en angripare lura systemet att tro de är du – som att visa upp en kopia av din namnteckning.

🛡️ Fixa det:
#

  • Kräv alltid signerade SAML-svar.
  • Lägg till tidsstämplar för att undvika replay-attacker.

💡 Slutkläm: Var en digital vaktmästare
#

Cybersäkerhet är inte bara teknik – det är en dans mellan att vara paranoid och proaktiv. Genom att använda rätt headers, implementera hårdhänta valideringar och förstå hur dessa attacker funkar, blir du en omöjlig att knäcka.

Vad gör du idag?

  1. Kolla dina CSP-headers.
  2. Testa dina återställningsflöden mot Host Header Poisoning.
  3. Skicka den här guiden till en kompis – säkerhet är en lagsport! 🔐

Related

Exempel på hur man genererar en skum hash (python) ✏️
·443 words·3 mins· loading · loading
🔍 **robots.txt: din webbplats vaktmästare (och varför den är viktig)**
·601 words·3 mins· loading · loading
🔒 sårbarheter som gömmer sig i skuggorna – och hur du bekämpar dem
·500 words·3 mins· loading · loading