[研究]再談黑箱Web弱點掃描工具對HSTS的誤判

[研究]再談黑箱Web弱點掃描工具對HSTS的誤判

2025-10-03

「百丈野狐」公案，為何回答錯一句，就導致墮生野狐狸五百年，因為職位愈高、影響愈大的人，所行小善會變成大善，所行小惡會變成大惡。

防毒軟體、白箱原始碼安全掃描工具 (源碼掃描)、黑箱Web弱點掃描工具、黑箱主機弱點掃描工具、甚至滲透測試 都有可能誤判，畢竟軟體工具和人不是100%完美的。

聊聊某些 Web 弱點掃描工具，對 HSTS (HTTP Strict Transport Security，HTTP 嚴格傳輸安全) 的誤判。

弱點名稱：HSTS Missing From HTTPS Server (RFC 6797)

弱點名稱：HTTPS 伺服器缺少 HSTS (RFC 6797)

弱點描述：The remote web server is not enforcing HSTS, as defined by RFC 6797. 

弱點描述：遠端 Web 伺服器未強制執行 RFC 6797 定義的 HSTS。

 

HSTS is an optional response header that can be configured on the server to instruct the browser to only communicate via HTTPS. The lack of HSTS allows downgrade attacks,SSL-stripping man-in-the-middle attacks, and weakens cookie-hijacking protections.

HSTS 是一個可選擇性設定的回應標頭，可以在伺服器上設定，以指示瀏覽器僅透過 HTTPS 進行通訊。缺少 HSTS 會導致降級攻擊、SSL 剝離中間人攻擊，及弱 Cookie 劫持保護。

建議修補方式：Configure the remote web server to use HSTS.

建議修補方式：將遠端 Web 伺服器設定為使用 HSTS。

********************************************************************************

把該網站拿去另一個網站測試，卻是正常。

Domsignal 網站 (HSTS, HTTP Strict Transport Security 專門測試網站)
https://domsignal.com/hsts-test

********************************************************************************

因為 HSTS 防護是設定在 HTTP/HTTPS Response Header 進行，所以一般會在網站全域設定檔 (例如 ASP.NET Webform 網站的 Web.Config 中設定，或在全域的程式中設定，所以單一頁面會診斷出沒有 HSTS，而其他網頁有 HSTS 的情況，機率極低，但該黑箱Web弱點掃描工具卻偏偏如此。

HSTS 沒設，該黑箱Web弱點掃描工具應該說明是哪一個網頁沒有設定，以便讓程式開發人員修改，但報告卻說 HTTP/1.1 404 Not Found，也就是說該網站的首頁可能不是一般預設的，或者會進行轉址，但該黑箱Web弱點掃描工具沒有判斷這種情況的能力，而【Domsignal 網站】有判斷這種情況的能力。

因為敝人也不知該套【黑箱Web弱點掃描工具】是哪一套，無法做更多的實際測試。

其實該【黑箱Web弱點掃描工具】的原廠若肯修正這個 Bug，可能是很容易的。

[研究]請問下面 HSTS 訊息可能是哪套黑箱主機弱點掃描軟體的掃描結果？https://shaurong.blogspot.com/2025/11/hsts.html

(完)

相關

[研究]再談黑箱Web弱點掃描工具對HSTS的誤判
https://shaurong.blogspot.com/2025/10/webhsts.html

[研究]Domsignal 網站 HSTS (HTTP Strict Transport Security) 測試https://shaurong.blogspot.com/2025/06/domsignal-dhsts-http-strict-transport.html

[研究]HTTPS 瀏覽網頁時，如何檢視 伺服器回應標頭 ? (以 HSTS 為例)
https://shaurong.blogspot.com/2023/11/https-hsts.html

[研究][ASP.NET]WebForm啟用HSTS保護
https://shaurong.blogspot.com/2023/04/aspnetwebformhsts.html

[研究]你的連線不是私人連線 ... 目前無法造訪 ...，因為這個網站使用 HSTS。
https://shaurong.blogspot.com/2021/11/localhost-hsts.html