خانه دوره آموزشی OWASP WSTG-CONFIG-007

WSTG-CONFIG-007

آخرین به روز رسانی آوریل 8, 2021 توسط دیدگاه ها خاموش است اشتراک گذاری

بررسی وجود هدرHTTP Strict Transport Security

در این بخش از دوره آموزشی OWASP-WSTG به دومین بخش از استاندارد WSTG با شناسه WSTG-CONFIG-007 می پردازیم که مربوط به بررسی هدر HSTS می باشد.

خلاصه

ویژگی HSTS به یک برنامه کاربردی وب اجازه می‌دهد تا مرورگر را از طریق استفاده از یک هدر پاسخ خاص آگاه سازد که هرگز نباید ارتباطی با سرورهای دامنه مشخص با استفاده از HTTP رمز نشده برقرار کند. در عوض، باید به طور خودکار تمام درخواست‌های اتصال برای دسترسی به سایت از طریق HTTPS را ایجاد نماید. که این موضوع، مانع از نادیده گرفتن خطاهای گواهی توسط کاربران می‌شود. (زمانی که ترافیک در حال Sniff شدن باشد یا گواهینامه SSL منقضی شده باشد.)

آشنایی با WSTG-CONFIG-006

با توجه به اهمیت این معیار امنیتی، می‌بایست بررسی لازم صورت گیرد تا تایید شود که وب سایت از این هدر HTTP استفاده می‌کند تا اطمینان حاصل شود که تمام داده‌ها بین مرورگر وب و سرور رمز نگاری می‌شوند.

هدر HSTS از دو دستورالعمل استفاده می‌کند:

max – age: برای نشان دادن تعداد ثانیه‌هایی که مرورگر باید به طور خودکار تمام درخواست‌های HTTP را به HTTPS تبدیل کند.

includeSubDomains: برای نشان دادن این که تمام زیردامنه‌های مرتبط باید از HTTPS استفاده کنند.

preload Unofficial: برای نشان دادن اینکه دامنه (‏ها)‏ در فهرست پیش بارگذاری (‏ها) ‏قرار دارند و اینکه مرورگرها هرگز نباید بدون HTTPS متصل شوند. این مورد توسط همه مرورگرهای اصلی پشتیبانی می‌شود اما رسمی نیست. (برای اطلاعات بیشتر به hstspreload.org مراجعه نمایید.)

تصویر زیر مثالی از اجرای هدر HSTS است:

استفاده از این هدر توسط برنامه‌های کاربردی وب باید بررسی شود تا در صورت وجود مشکلات امنیتی زیر، بتوان آن‌ها را شناسایی نموده و از بروز آن‌ها پیشگیری به عمل آورد:

• Sniff ترافیک شبکه و دسترسی به اطلاعات انتقالی از طریق یک کانال رمزنگاری نشده توسط مهاجمان
• استفاده از حمله MITM و دستکاری اطلاعات بین دو سیستم، به دلیل مشکل پذیرش گواهی‌هایی که مورد اعتماد نیستند توسط مهاجمان
• امکان اشتباه کاربران برای ورود آدرس یک برنامه در مرورگر کهHTTP را به جای HTTPS وارد می‌کنند، یا کاربرانی که بر روی یک لینک در یک برنامه کاربردی وب که به اشتباه استفاده از پروتکل HTTP را نشان می‌دهد، کلیک می‌کنند.

اهداف تست

هدر HSTS و اعتبار آن را بررسی نمایید.

چگونه تست را انجام دهیم

حضور هدر HSTS را می‌توان با بررسی پاسخ سرور از طریق یک پروکسی رهگیری نموده و یا با استفاده از curl به شرح زیر وجود آن را تایید کرد:

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید

WSTG-INPV-07 – بخش اول

آوریل 4, 2023

WSTG-INPV-06

مارس 20, 2023

WSTG-INPV-05 – بخش چهارم

مارس 8, 2023

WSTG-INPV-05 – بخش سوم

فوریه 11, 2023

WSTG-INPV-05 – بخش دوم

ژانویه 7, 2023

WSTG-INPV-05 – بخش اول

دسامبر 1, 2022