2023年11月17日 星期五

[研究][ASP.NET]弱點掃描出現HTTP Strict Transport Security (HSTS) not implemented之解決

[研究][ASP.NET]弱點掃描出現HTTP Strict Transport Security (HSTS) not implemented(未使用 HSTS 強制安全傳輸技術)之解決

2023-11-09

環境:Visual Studio 2022 + ASP.NET + WebForm + Web Application + C#

其實這是一個 "低(Low)" 等級的弱點。

弱點描述:HTTP Strict Transport Security (HSTS) tells a browser that a web site is only accessable using HTTPS. It was detected that your web application doesn't implement HTTP Strict Transport Security (HSTS) as the Strict Transport Security header is missing from the response.

弱點中文描述:HSTS告訴瀏覽器只能走 HTTPS 協定,目前在 Strict Transport Security 標頭並未發現使用 HSTS。

建議修補方式:It's recommended to implement HTTP Strict Transport Security (HSTS) into your web application. Consult web references for more information

建議修補方式中文:建議設定上HSTS標籤至標頭檔上。

參考資料:

HSTS Preload List Submission
https://hstspreload.org/

Strict-Transport-Security - HTTP | MDN
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

********************************************************************************

解決

[研究][ASP.NET]WebForm啟用HSTS保護
https://shaurong.blogspot.com/2023/04/aspnetwebformhsts.html

測試

[研究]HTTPS 瀏覽網頁時,如何檢視 伺服器回應標頭 ? (以 HSTS 為例)
https://shaurong.blogspot.com/2023/11/https-hsts.html

 ********************************************************************************

如何測試 ASP.NET WebForm 網站是否已經設了 HSTS 防護?

ChatGPT

要檢查 ASP.NET WebForm 網站是否已經啟用 HSTS(HTTP Strict Transport Security)防護,你可以採取以下步驟:

檢查伺服器回應標頭: 使用瀏覽器的開發者工具或線上工具,檢查你的網站是否回傳了Strict-Transport-Security標頭。HSTS標頭的格式可能類似於以下範例:

Strict-Transport-Security: max-age=31536000; includeSubDomains

如果你看到這樣的標頭,代表HSTS已經啟用。

檢查HTTPS連線: HSTS僅在使用HTTPS時生效。確保你的網站正確地配置了SSL/TLS憑證,而且透過HTTPS進行訪問。如果你嘗試使用HTTP訪問,HSTS可能不會生效。

檢查Web.config檔案: 在你的ASP.NET WebForm專案中的Web.config檔案中,確保沒有禁用HSTS的相關設定。搜尋Strict-Transport-Security或類似的字串,並確保相應的設定沒有被註解或禁用。


<configuration>
<system.webServer>
  <httpProtocol>
    <customHeaders>
      <add name="Strict-Transport-Security" value="max-age=31536000" />
    </customHeaders>
  </httpProtocol>
</system.webServer>
</configuration>

請記得在進行任何變更之前,備份你的檔案,以免發生意外的問題。

********************************************************************************

2023-11-20

發現用 localhost 連正常,用本機的 IP 連會有問題

(完)

相關

沒有留言:

張貼留言