[General] HTTP Security Header Not Detected 대응
내부 VAPT 실행 시, Fortigate 방화벽과 Pulse Secure VPN 장비에서 HTTP Security Header Not Detected 취약점이 발견됨
설명
HTTP Security Header Not Detected 을 구글링해보니, 요 옵션이 활성화 되어있지 않으면 HTTPS보다 상대적으로 보안이 좋지 못한 HTTP를 통한 공격이 들어올수도 있다고한다.
그리고 해당 취약점은 HSTS (HTTP Strict Transport Security)를 활성화 함으로써 방어할 수 있다고 하는데, HTTPS로 맺어진 연결이 다시 HTTP로 회귀하지 못하도록 막아준다고 한다.
_
HSTS is a browser-only security feature. Basically it says that once a site has transitioned to HTTPS it cannot transition back to HTTP. This is a security feature that prevents a malicious user from getting an otherwise HTTPS encrypted site to send data unencrypted via HTTP. HSTS prevents this at the browser level
(from. https://learn.microsoft.com/en-us/answers/questions/241772/http-security-header-not-detected-443.html)
대응
- Fortigate : SSL Portal에서 주로 발견된다기에 SSL Portal의 web-access를 비활성화 시켰다
- Pulse Secure VPN: 아래 HSTS 옵션을 활성화 시켰다. (하위 옵션들)
