検出

HTTP Strict Transport Security ポリシーがありません

medium Web App Scanning プラグイン ID 98056

Language:

概要

HTTP Strict Transport Security ポリシーがありません

説明

HTTP プロトコル自体はクリアテキストであるため、HTTP を介して送信されるデータをキャプチャし、コンテンツを表示できます。データをプライベートに保ち、傍受されないようにするために、HTTP は Secure Sockets Layer (SSL) または Transport Layer Security (TLS) を介してトンネル化されることがよくあります。これらの暗号化標準のいずれかが使用される場合、HTTPS と呼ばれます。

HSTSは、HTTPS経由でのみ通信するようにブラウザに指示するためにサーバー上で構成できる、オプションの応答ヘッダーです。これは、ユーザーが同じサーバーで HTTP リソースをリクエストした場合でも、ブラウザによって強制されます。

サイバー犯罪者は、HTTP を使用してクライアントからサーバーに渡される機密情報を侵害しようとすることがよくあります。これは、さまざまな中間者攻撃 (MiTM) 攻撃またはネットワークパケットキャプチャを介して実行できます。

スキャナーは、影響を受けるアプリケーションが HTTPS を使用しているものの、HSTS ヘッダーを使用していないことを検出しました。

ソリューション

実装方法は使用されているフレームワークによって異なりますが、サーバーで「Strict-Transport-Security」ヘッダーを構成することをお勧めします。
このヘッダーのオプションの 1 つは「max-age」です。これは、クライアントのブラウザがヘッダーポリシーに準拠する期間を決定する表現 (ミリ秒) です。
環境やアプリケーションによって、この期間は数分から数日に及ぶ場合があります。

参考資料

https://hstspreload.org/

https://tools.ietf.org/html/rfc6797

https://www.chromium.org/hsts

https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet

プラグインの詳細

深刻度: Medium

ID: 98056

タイプ: remote

ファミリー: HTTP Security Header

公開日: 2017/3/31

更新日: 2024/3/18

スキャン テンプレート: api, basic, config_audit, full, overview, pci, quick, scan

リスク情報

VPR

リスクファクター: Low

スコア: 3.3

CVSS v2

リスクファクター: Medium

基本値: 5.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Medium

基本値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVSS スコアのソース: Tenable

参照情報