En-tête de sécurité HTTP - Sécurité de transport stricte HTTP (HSTS) manquante sur le serveur HTTPS (RFC 6797)

En-tête de sécurité HTTP - Sécurité de transport stricte HTTP (HSTS) manquante sur le serveur HTTPS (RFC 6797)

10724
Created On 03/17/23 14:18 PM - Last Modified 02/02/24 06:02 AM


Symptom


  • Lors de l’analyse Pentest de PAN-OS 10.2.x, l’en-tête de sécurité HTTP est signalé comme manquant.
  • Cela peut être vérifié à l’aide de la commande curl.
test-host-> curl -I -k https://w.x.y.z
HTTP/1.1 302 Found
Date: Fri, 17 Mar 2023 13:53:28 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Set-Cookie: PHPSESSID=d90l0umcr2s5b74jkvc12l0orr; path=/; secure; HttpOnly
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Location: /php/login.php?
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
  • La sortie d’en-tête ci-dessus n’affiche pas « Strict-Transport-Security » mais elle redirige également la page vers /php /login.php avec HTTP 302 Found.
  • Lors de la vérification des en-têtes dans la page redirigée / php/loginphp, il affiche l’en-tête de sécurité « Strict-Transport-Security : max-age=31536000 » comme indiqué ci-dessous.
test-host-> curl -I -k https://w.x.y.z/php/login.php
HTTP/1.1 200 OK
Date: Fri, 17 Mar 2023 13:53:54 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Cache-Control: no-store, no-cache, must-revalidate
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-eval' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; frame-ancestors 'self'
Strict-Transport-Security: max-age=31536000 <<<<-----
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Pragma: no-cache
Set-Cookie: PHPSESSID=6jp2219a8dfev8djdulc4eqats; path=/; secure; HttpOnly; SameSite=strict
Set-Cookie: PHPSESSID=6jp2219a8dfev8djdulc4eqats; path=/; secure; HttpOnly; SameSite=strict
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS

Environment


  • Pare-feu Palo Alto
  • PanOS 10.2.x
  • Interface de gestion
  • HTTPS

Cause


L’en-tête de sécurité suivant n’est pas disponible dans l’URL racine de l’interface de gestion. 
Strict-Transport-Security: max-age=31536000

Resolution


  1. L’URL racine effectue 302 redirections vers la page de connexion qui a l’en-tête « Strict-Transport-Security ».
  2. Il n’y a pas de vulnérabilité ou de risque puisque la page redirigée a le « Strict-Transport-Security ».
  3. Le problème a été résolu dans la version 10.2.4 /11.0.0 et ultérieure de PAN-OS.

Additional Information


Ce n’est pas un problème dans les versions 8.0.18, 8.1.9, 9.0.4 et 9.1.5, dans la version 10.1.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sb6ECAQ&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language