Я использовал шлюз API для построения бизнес-логики моего приложения, вызывающего лямбда-функции. Для гарантии безопасности я сгенерировал отчет об НДС базового URL API у своего эксперта по кибербезопасности. Всего было обнаружено 9 уязвимостей, включая четыре уязвимости среднего уровня, три уязвимости низкого уровня и две уязвимости информационного уровня.
- Директива дикой карты (CSP)
- Заголовок политики безопасности содержимого (CSP) не установлен
- Неправильная конфигурация междоменного соединения
- Отсутствующий заголовок защиты от перехвата кликов
- Утечка информации с сервера через поле(я) «X-Powered-By» заголовка HTTP-ответа
- Раскрытие временных меток — Unix
- Отсутствует заголовок X-Content-Type-Options
- Несоответствие набора символов
- Пересмотрите директивы кэша
как устранить все эти уязвимости? есть ли необходимость устанавливать или определять пользовательские заголовки? (если да, то где и как я могу это сделать, либо в консоли API Gateway, либо в лямбда-скрипте, либо в коде на стороне клиента или приложения, где вызывается этот базовый URL API Gateway)?