Encabezado de seguridad HTTP: falta la seguridad de transporte estricta HTTP (HSTS) en el servidor HTTPS (RFC 6797)

Encabezado de seguridad HTTP: falta la seguridad de transporte estricta HTTP (HSTS) en el servidor HTTPS (RFC 6797)

9272
Created On 03/17/23 14:18 PM - Last Modified 02/02/24 06:02 AM


Symptom


  • Durante el análisis de la prueba de penetración de PAN-OS 10.2.x, se informa que falta el encabezado de seguridad HTTP.
  • Esto se puede comprobar con el comando curl.
test-host-> curl -I -k https://w.x.y.z
HTTP/1.1 302 Found
Date: Fri, 17 Mar 2023 13:53:28 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Set-Cookie: PHPSESSID=d90l0umcr2s5b74jkvc12l0orr; path=/; secure; HttpOnly
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Location: /php/login.php?
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
  • La salida del encabezado anterior no muestra "Strict-Transport-Security", pero también redirige la página a /php /login.php con HTTP 302 Found.
  • Al verificar los encabezados en la página redirigida / php/loginphp, muestra el encabezado de seguridad "Strict-Transport-Security: max-age=31536000" como se muestra a continuación.
test-host-> curl -I -k https://w.x.y.z/php/login.php
HTTP/1.1 200 OK
Date: Fri, 17 Mar 2023 13:53:54 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Cache-Control: no-store, no-cache, must-revalidate
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-eval' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; frame-ancestors 'self'
Strict-Transport-Security: max-age=31536000 <<<<-----
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Pragma: no-cache
Set-Cookie: PHPSESSID=6jp2219a8dfev8djdulc4eqats; path=/; secure; HttpOnly; SameSite=strict
Set-Cookie: PHPSESSID=6jp2219a8dfev8djdulc4eqats; path=/; secure; HttpOnly; SameSite=strict
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS

Environment


  • Palo Alto Firewalls
  • PanOS 10.2.x
  • Interfaz de administración
  • HTTPS

Cause


A la dirección URL raíz de la interfaz de administración le falta el siguiente encabezado de seguridad de la dirección URL base. 
Strict-Transport-Security: max-age=31536000

Resolution


  1. La URL raíz hace redireccionamientos 302 a la página de inicio de sesión que tiene el encabezado "Strict-Transport-Security".
  2. No hay vulnerabilidad ni riesgo ya que la página redirigida tiene la "Estricta Seguridad de Transporte".
  3. El problema se ha solucionado en la versión PAN-OS 10.2.4 /11.0.0 y posteriores.

Additional Information


No es un problema en 8.0.18, 8.1.9, 9.0.4 y 9.1.5, en 10.1.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sb6ECAQ&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language