(转载翻译)OWASP v5 4.2.7 测试HTTP严格传输安全性

nicky   ·   发表于 2020-04-08 18:31:15   ·   技术文章投稿区

概要

HTTP严格传输安全(HSTS)请求头是网站必须与浏览器进行通信的一种机制,与给定网站交换的所有流量都必须始终通过https发送,这将有助于防止信息经过未加密的请求传递。

考虑到这个安全措施的重要性,很有必要验证网站是否正在使用这种HTTP请求头,来确保所有数据都从WEB浏览器加密传输到服务器上。

HTTP严格传输安全性(HTTPS)功能可以使WEB应用程序使用特殊的请求头来连接浏览器。它不应使用HTTP与指定的网站服务器建立连接。相反它会自动建立所有连接请求来通过HTTPS访问站点。

HTTP严格传输安全请求头会使用两个部分:
max-age:表示浏览器会自动将所有HTTP请求转换为HTTPS的秒数。
includeSubDomains:表示所有WEB应用程序的子域名都得使用HTTPS

举一个HSTS请求头的例子:
Strict-Transport-Security: max-age=60000; includeSubDomains

必须检查WEB应用程序对这个请求头的使用,来查找是否可能存在以下安全问题:
攻击者嗅探网络并访问未加密通道传输的信息

攻击者由于接受不可信的证书而利用中间者攻击

在浏览器中错误输入网址而不是HTTP和HTTPS的用户,或者单击WEB应用中程序错误指示HTTP协议的链接用户。

测试方法

可以通过抓包来检查服务器响应中是否存在HSTS请求头,或者直接使用curl来检测:
$curl -s -D- https://owasp.org | grep Strict
Strict-Transport-Security: max-age=15768000

转载:https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/07-Test_HTTP_Strict_Transport_Security.md

用户名金币积分时间理由
奖励系统 100.00 0 2020-08-28 09:09:41 投稿满 10 赞奖励
奖励系统 50.00 0 2020-08-27 16:04:44 投稿满 5 赞奖励

打赏我,让我更有动力~

0 Reply   |  Until 2020-4-8 | 715 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.