HTTPS 伺服器缺少 HSTS

info Nessus Plugin ID 84502

語系:

Synopsis

遠端 Web 伺服器並未強制執行 HSTS。

描述

遠端 HTTPS 伺服器並未強制執行 HTTP Strict Transport Security (HSTS)。HSTS 是可選的回應標頭,可在伺服器上設定為指示瀏覽器僅透過 HTTPS 通訊。缺少 HSTS 時會允許降級攻擊、SSL 去除攔截式攻擊,並弱化 Cookie 劫持保護。

解決方案

請將遠端 Web 伺服器設為使用 HSTS。

另請參閱

https://tools.ietf.org/html/rfc6797

Plugin 詳細資訊

嚴重性: Info

ID: 84502

檔案名稱: hsts_missing_on_https_server.nasl

版本: 1.6

類型: remote

系列: Web Servers

已發布: 2015/7/2

已更新: 2021/5/19

弱點資訊

必要的 KB 項目: SSL/Supported