HTTPSサーバーでHSTSが欠落

info Nessus プラグイン ID 84502

言語:

概要

リモートWebサーバーがHSTSを強制していません。

説明

リモートのHTTPSサーバーが、HTTP Strict Transport Security(HSTS)を強制していません。HSTSは、HTTPS経由でのみ通信するようにブラウザに指示するためにサーバー上で構成できる、オプションの応答ヘッダーです。HSTSがないことにより、ダウングレード攻撃、SSL-stripping中間者攻撃が可能になり、クッキーのハイジャックに対する保護が弱体化します。

ソリューション

リモートWebサーバーをHSTSを使用するように設定します。

関連情報

https://tools.ietf.org/html/rfc6797

プラグインの詳細

深刻度: Info

ID: 84502

ファイル名: hsts_missing_on_https_server.nasl

バージョン: 1.6

タイプ: remote

ファミリー: Web Servers

公開日: 2015/7/2

更新日: 2021/5/19

脆弱性情報

必要な KB アイテム: SSL/Supported