偵測

遺漏 HTTP 嚴格傳輸安全性原則

medium Web App Scanning Plugin ID 98056

語系:

概要

遺漏 HTTP 嚴格傳輸安全性原則

說明

HTTP 通訊協定本身為純文字,這表示使用者可擷取透過 HTTP 傳輸的任何資料並檢視內容。為確保資料私密以及防止資料遭攔截,我們通常會透過安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 來建立 HTTP 通道。當使用其中任何一個加密標準時,就稱為 HTTPS。

HTTP 嚴格傳輸安全性 (HSTS) 是可選的回應標頭,可在伺服器上設定,指示瀏覽器僅透過 HTTPS 通訊。即使使用者要求相同伺服器上的 HTTP 資源,瀏覽器也會強制執行此動作。

網路不法份子通常會嘗試竊取使用 HTTP 從用戶端傳送至伺服器的敏感資訊,這可透過各種攔截式 (MiTM) 攻擊或透過網路封包擷取來完成。

掃描程式發現受影響的應用程式使用的是 HTTPS,但並未使用 HSTS 標頭。

解決方案

根據所使用的架構,實作方法會有所不同,但建議在伺服器上設定 `Strict-Transport-Security` 標頭。
`max-age` 是此標頭的一個選項,這是一種決定用戶端瀏覽器遵守標頭原則持續時間的表示法 (以毫秒為單位)。
視環境和應用程式而定,此期間可能短至數分鐘,長至數天。

另請參閱

https://hstspreload.org/

https://tools.ietf.org/html/rfc6797

https://www.chromium.org/hsts

https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet

Plugin 詳細資訊

嚴重性: Medium

ID: 98056

類型: remote

已發布: 2017/3/31

已更新: 2024/3/18

掃描範本: api, basic, config_audit, full, overview, pci, quick, scan

風險資訊

VPR

風險因素: Low

分數: 3.3

CVSS v2

風險因素: Medium

基本分數: 5.8

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Medium

基本分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVSS 評分資料來源: Tenable

參考資訊