HTTPSサーバーでHSTSが欠落
info Nessus プラグイン ID 84502
Language:
概要
リモートWebサーバーがHSTSを強制していません。説明
リモートのHTTPSサーバーが、HTTP Strict Transport Security(HSTS)を強制していません。HSTSは、HTTPS経由でのみ通信するようにブラウザに指示するためにサーバー上で構成できる、オプションの応答ヘッダーです。HSTSがないことにより、ダウングレード攻撃、SSL-stripping中間者攻撃が可能になり、クッキーのハイジャックに対する保護が弱体化します。ソリューション
リモートWebサーバーをHSTSを使用するように設定します。参考資料
プラグインの詳細
深刻度: Info
ID: 84502
ファイル名: hsts_missing_on_https_server.nasl
バージョン: 1.6
タイプ: remote
ファミリー: Web Servers
公開日: 2015/7/2
更新日: 2021/5/19
脆弱性情報
必要な KB アイテム: SSL/Supported