Операционный план веб-безопасности
Руководство по реализации для команд
Дата сканирования: 13 января 2026 | Инструмент: Nikto 2.1.5
Резюме для операционной команды
Сканирование Nikto выявило 3 проблемы в конфигурации веб-сервера. Документ содержит пошаговые инструкции для устранения каждой проблемы с примерами конфигурации и чек-листами.
Матрица распределения ответственности:
| Проблема | Ответственная команда | Сроки | Приоритет |
|---|---|---|---|
| X-Frame-Options заголовок | DevOps / Sys Admin | День 1-2 | ВЫСОКИЙ |
| SSL-сертификат | DevOps / Infrastructure | День 3-5 | ВЫСОКИЙ |
| Дополнительные заголовки | DevOps / Security | День 5-7 | СРЕДНИЙ |
Фаза 1: Экстренные исправления (Дни 1-7)
⚠️ КРИТИЧНО: Все задачи этого раздела должны быть завершены в течение 7 дней. Отсроченное выполнение увеличивает операционный риск.
Задача 1: Настройка заголовка X-Frame-Options
Приоритет: ВЫСОКИЙ | Сроки: День 1-2 | Ответственный: DevOps Lead
Описание:
Необходимо добавить заголовок X-Frame-Options в конфигурацию веб-сервера для защиты от clickjacking атак.
Решение для Nginx/LiteSpeed:
server {
# Добавить в блок server конфигурации
add_header X-Frame-Options "DENY" always;
# Альтернативно можно использовать SAMEORIGIN
# add_header X-Frame-Options "SAMEORIGIN" always;
}
Проверка на staging:
- Развернуть конфигурацию на staging сервер
- Проверить заголовок командой:
curl -I https://staging.example.com - Убедиться что возвращается:
X-Frame-Options: DENY - Проверить все эндпоинты (/, /index, etc.)
Развёртывание на production:
- Создать backup текущей конфигурации:
cp nginx.conf nginx.conf.backup - Обновить production конфигурацию
- Перезагрузить сервер:
systemctl reload nginx(без downtime) - Проверить продакшн:
curl -I https://example.com - Документировать изменение в changelog
Откат (если потребуется):
cp nginx.conf.backup nginx.conf systemctl reload nginx
Задача 2: Исправление SSL-сертификата
Приоритет: ВЫСОКИЙ | Сроки: День 3-5 | Ответственный: Infrastructure Lead
Описание:
Текущий SSL-сертификат не соответствует доменному имену. Требуется получение и установка корректного сертификата для example.com.
Процедура через Cloudflare:
- Перейти в Cloudflare Dashboard → SSL/TLS
- Нажать "Generate certificate" для example.com
- Выбрать опцию "Comodo/Universal" certificate
- Дождаться validation (~5 мин)
- Скопировать сертификат и key на сервер
- Обновить конфигурацию Nginx
Обновление конфигурации Nginx:
server {
listen 443 ssl http2;
server_name example.com www.example.com;
# Обновить пути на новый сертификат
ssl_certificate /etc/ssl/certs/example.com.crt;
ssl_certificate_key /etc/ssl/private/example.com.key;
# Рекомендуемые параметры SSL
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}
Проверка:
- Проверить сертификат:
openssl s_client -connect example.com:443 - Убедиться что CN = example.com (не cdnjs.cloudflare.com)
- Проверить срок действия
- Открыть в браузере и убедиться что нет предупреждений
- Проверить SSL Report на https://www.ssllabs.com/
Задача 3: Дополнительные заголовки безопасности
Приоритет: СРЕДНИЙ | Сроки: День 5-7 | Ответственный: DevOps + Security
Описание:
Добавить комплект рекомендуемых заголовков безопасности для полной защиты веб-приложения.
Полный набор заголовков:
server {
# Clickjacking protection
add_header X-Frame-Options "DENY" always;
# Prevent MIME type detection
add_header X-Content-Type-Options "nosniff" always;
# XSS protection
add_header X-XSS-Protection "1; mode=block" always;
# Referrer policy
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
# Permissions/Feature policy
add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always;
# HSTS (HTTP Strict Transport Security)
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
}
Тестирование:
- Проверить все заголовки:
curl -I https://example.com - Убедиться что все 6 заголовков присутствуют
- Проверить HSTS preload status: https://hstspreload.org
- Провести полное функциональное тестирование приложения
Фаза 2: Проверка и повторное сканирование (День 8)
Процедура проверки:
- Запустить Nikto повторное сканирование:
nikto -h https://example.com -ssl -o rescan.html - Сравнить результаты с исходным отчётом
- Убедиться что все 3 проблемы устранены
- Задокументировать результаты в CHANGELOG
- Уведомить руководство о успешном завершении
Документирование:
## 2024-01-14 - Исправление безопасности Nikto ### Выполненные действия: - [x] Добавлен заголовок X-Frame-Options: DENY - [x] Установлен корректный SSL-сертификат для example.com - [x] Добавлены дополнительные заголовки безопасности - [x] Проведено повторное сканирование Nikto ### Статус: ✓ Все проблемы устранены ✓ Сертификат валиден до 2027-01-14 ✓ Все заголовки безопасности установлены
Регулярное обслуживание
Еженедельные действия (каждый понедельник):
- Проверить логи Nginx на ошибки SSL
- Убедиться что все заголовки присутствуют
- Проверить статус сертификата
Ежемесячные действия:
- Запустить сканирование Nikto
- Проверить наличие новых CVE для компонентов
- Проверить срок действия SSL-сертификата
- Обновить документацию конфигурации
Ежегодные действия:
- Обновить SSL-сертификат (за 30 дней до истечения)
- Полный аудит безопасности веб-сервера
- Обновление security policies
Контакты и поддержка
Контактные лица:
| Роль | Ответственный | Контакт |
|---|---|---|
| DevOps Lead | [ИМЯ] | [EMAIL] |
| Infrastructure Manager | [ИМЯ] | [EMAIL] |
| Security Officer | [ИМЯ] | [EMAIL] |
Ресурсы:
- Документация Nikto: https://github.com/sullo/nikto/wiki
- OWASP Security Headers: https://owasp.org/www-project-secure-headers/
- Cloudflare Documentation: https://developers.cloudflare.com/
- Mozilla SSL Configuration: https://ssl-config.mozilla.org/
Операционный план на основе Nikto сканирования.
Дата: 13 января 2026
Обновлять по мере выполнения действий.