未啟用 HTTP 到 HTTPS 重新導向
medium Web App Scanning Plugin ID 112544
語系:
概要
未啟用 HTTP 到 HTTPS 重新導向說明
網站已啟用 HTTPS,但 HTTP 要求未重新導向至 HTTPS。如果使用者未明確存取 HTTPS 版本的網站,則通訊不會加密。注意:此外掛程式不會處理 custom 連接埠,因此只會在標準連接埠 (80/443) 上執行掃描時執行檢查。
解決方案
針對所有要求啟用 HTTP 到 HTTPS 重新導向。如果未實作 HTTP Strict Transport Security (HSTS),除重新導向以外,還強烈建議啟用它。另請參閱
https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet
Plugin 詳細資訊
嚴重性: Medium
ID: 112544
類型: remote
系列: SSL/TLS
已發布: 2019/2/12
已更新: 2024/9/6
掃描範本: api, basic, config_audit, full, pci, quick, scan, ssl_tls
風險資訊
VPR
風險因素: Low
分數: 2.5
CVSS v2
風險因素: Medium
基本分數: 5.8
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: Medium
基本分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
CVSS 評分資料來源: Tenable
CVSS v4
風險因素: Medium
Base Score: 5.3
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
CVSS 評分資料來源: Tenable