での応答セキュリティ ヘッダーの存在を確認する方法 PANOS
9577
Created On 01/04/21 16:36 PM - Last Modified 03/08/23 22:16 PM
Objective
脆弱性の疑いがある場合に使用されるセキュリティ ヘッダーの存在を手動で確認する方法 PAN-OS 誤った読み取りまたは事前テストレポートが記載されており、自動化されたツールや商用ツールが簡単に入手できないかどうかを確認する方法。
Environment
すべて PANOS
Procedure
オプション1 : Linuxベースのシステムからカールを使用する
Linux ベースのシステムから、次のコマンドを実行して、ヘッダーの存在を確認して、クイックチェックを行います。
$curl -k --headhttps://Firewall_IP/または $curl -k --headhttps:// FQDN https://>/
$ curl-k --headhttps://Firewall_IP/php/login.phpまたは $curl -k --head FQDN https://>/php/login.php
図1 - 利用可能なヘッダーを示すコマンドの出力の画像。
オプション 2: ブラウザー開発者ツールの使用
クロムの例として、開発者ツール([F12] または [Ctrl] +[Shift]+I ) を開くと firewall 、ログイン ページまたはグローバルプロテクト ポータルにアクセスして、問題のヘッダーの存在を確認できます。
図 2 - セキュリティ ヘッダーを示すクロム開発者ツールのサンプル画像
オプション 3: オンライン サイトを使用して、一般向けのユーザー向けのサイトを検索
FQDN またはパブリックに検索して、セキュリティ ヘッダーの存在を確認することもできます IP 。
例として、以下のリンクを使用 https://www.serpworx.com/check-security-headers/
Additional Information
https://owasp.org/www-project-secure-headers/