NFsec Logo

Wyciekające nagłówki HTTP

20/10/2016 w Pen Test Brak komentarzy.

W

świecie HTTP istnieje wiele nagłówków. Niektóre z nich starają się nas chronić inne – wręcz przeciwnie. Poszczególne urządzenia równoważenia obciążenia, serwery www oraz aplikacje webowe ujawniają informacje odnośnie swoich wersji. Czasami dochodzi również do ujawnienia informacji o wewnętrznych sieciach przed którymi się one znajdują. Poniżej zamieszczam kilka przykładów takich wycieków.
[ czytaj całość… ]

Konfiguracja nagłówków bezpieczeństwa na A+

08/01/2016 w Bezpieczeństwo Brak komentarzy.

S

ecurityheaders podobnie, jak Qualys SSL Test dla SSL oferuje sprawdzanie poprawności i ranking konfiguracji, jeśli chodzi o nagłówki bezpieczeństwa używane po stronie serwera i strony WWW. Zanim wykonamy test powinniśmy bliżej zapoznać się z następującymi pojęciami: Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Strict-Transport-Security (HSTS) oraz Public-Key-Pins (HPKP). Jeśli nie stosujemy żadnego z nich – ocena „F” nie powinna być zaskoczeniem.

Więcej informacji: securityheaders.io