Предисловие

Непрерывные обновления: систематизируйте уязвимости, обнаруженные в ходе тестирования на проникновение (включая описание уязвимостей, уровень уязвимости, проверку уязвимостей и предложения по устранению). Мы не будем углубляться в различные методы постэксплуатации или обхода уязвимостей. Процесс проверки уязвимостей не ограничивается. статьи Способ в котором может доказать наличие уязвимости.

0x01 Описание уязвимости

- HTTP Strict-Transport-Security отсутствует -

В заголовке ответа веб-сервера на HTTP-запросы отсутствует Strict-Transport-Security, что приведет к сбою функций безопасности, предоставляемых браузером, и сделает его более восприимчивым к хакерским атакам через веб-интерфейс. HTTP Strict Transport Security (часто сокращается до HSTS) — это функция безопасности, которая сообщает браузеру, что доступ к текущему ресурсу возможен только через HTTPS, а не HTTP. Когда HTTP-заголовок веб-сервера содержит Strict-Transport-Security, браузер будет продолжать использовать HTTPS для доступа к веб-сайту, что можно использовать для борьбы с атаками с понижением версии протокола и атаками с перехватом файлов cookie.

Необязательные значения конфигурации Strict-Transport-Security следующие:

strict-transport-security: max-age=<expire-time>
strict-transport-security: max-age=<expire-time>; includeSubDomains
strict-transport-security: max-age=<expire-time>; includeSubDomains; preload

Пример:

strict-transport-security: max-age=31536000; includeSubDomains; preload

Определение:

• max-age=31536000 Устанавливается после того, как браузер получит этот запрос 31536000 секунд (эквивалентно 1 лет), все запросы на доступ к этому доменному имени используют HTTPS просить.
• includeSubDomains Необязательный,Если указан этот необязательный параметр из,Тогда это означает, что это правило также распространяется на все поддоменные имена веб-сайтиз.
• preload Необязательно, добавьте в список предварительной загрузки.

уровень уязвимости 0x02

0x03 Проверка уязвимости

Доступны следующие инструменты проверки:

• Онлайн-обнаружениевеб-сайт：https://securityheaders.com/?q=http://www.luckysec.cn/
• curl Командный инструмент: локон -I "http://www.luckysec.cn/"
• Инструменты браузера: F12 Откройте консоль браузера, просмотр сети веб-сайта Заголовок ответа。
• Инструменты захвата сетевых пакетов: часто используемые инструменты, такие как BurpSuite.

Обнаружить целевой веб-сайт HTTP Заголовок ответа Strict-Transport-Security Отсутствующий。

исправление ошибки 0x04

1. Измените файл конфигурации веб-сайта и порекомендуйте отправить значение max-age=31536000; includeSubDomains; preload из Strict-Transport-Security Заголовок ответа。
2. Strict-Transport-Security Детали конфигурации：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Strict-Transport-Security