Comment vérifier la présence d’en-têtes de sécurité d’intervention PANOS
9571
Created On 01/04/21 16:36 PM - Last Modified 03/08/23 22:16 PM
Objective
Comment vérifier manuellement la présence d’un en-tête de sécurité utilisé en cas de suspicion de numérisation de vulnérabilité faux rapports de lecture PAN-OS ou de prétest qui stipule le contraire et où les outils automatisés ou commerciaux ne sont pas facilement disponibles pour vérifier.
Environment
Unll PANOS
Procedure
Option 1 : Utilisation de Curl à partir d’un système basé sur Linux
À partir d’un système basé sur Linux, vous pouvez exécuter les commandes suivantes pour vérifier la présence d’en-têtes pour une vérification rapide.
$curl -k --têtehttps://Firewall_IP/ ou $ curl-k --headhttps:// FQDN >/
$ curl-k --headhttps://Firewall_IP/php/login.php ou $curl -k --headhttps:// FQDN >/php/login.php
Figure 1 - une photo d’une sortie de la commande montrant les en-têtes disponibles.
Option 2 : Utilisation d’outils de développeur de navigateur
Par exemple dans chrome, une fois que vous ouvrez Developer Tools ( [F12] ou [Ctrl]+[Shift]+ ) etI vous pouvez vérifier la présence d’en-tête en question en visitant la page de connexion ou le portail de protection firewall global.
Figure 2 - un exemple d’image d’outils de développeur de chrome montrant les en-têtes
de sécurité Option 3: Utilisation de sites en ligne
qui aident à vérifier pour le public face On peut également tirer parti des outils en ligne pour vérifier la présence d’en-têtes de sécurité en FQDN recherchant ou en public dans un site IP préféré.
À titre d’exemple, on peut utiliser le lien ci-dessous : https://www.serpworx.com/check-security-headers/
Additional Information
https://owasp.org/www-project-secure-headers/