HTTP から HTTPS へのリダイレクトが有効になっていません
medium Web App Scanning プラグイン ID 112544
Language:
概要
HTTP から HTTPS へのリダイレクトが有効になっていません説明
Web サイトで HTTPS が有効になっているものの、HTTP リクエストが HTTPS にリダイレクトされません。ユーザーが Web サイトの HTTPS バージョンに明示的にアクセスしない場合、通信は暗号化されません。注意: このプラグインはカスタムポートを処理しないため、スキャンが標準ポート (80/443) で実行された場合にのみチェックを実行します。
ソリューション
すべてのリクエストに対して HTTP から HTTPS へのリダイレクトを有効にします。HTTP Strict Transport Security (HSTS) が実装されていない場合以外にもリダイレクトを有効にすることを強くお勧めします。参考資料
https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet
プラグインの詳細
深刻度: Medium
ID: 112544
タイプ: remote
ファミリー: SSL/TLS
公開日: 2019/2/12
更新日: 2024/9/6
スキャン テンプレート: api, basic, config_audit, full, pci, quick, scan, ssl_tls
リスク情報
VPR
リスクファクター: Low
スコア: 2.5
CVSS v2
リスクファクター: Medium
基本値: 5.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS スコアのソース: Tenable
CVSS v3
リスクファクター: Medium
基本値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
CVSS スコアのソース: Tenable
CVSS v4
リスクファクター: Medium
Base Score: 5.3
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
CVSS スコアのソース: Tenable