HTTP Strict Transport Security (OTG-CONFIG-007)

El objetivo de la prueba HTTP Strict Transport Security (HSTS) (OTG-CONFIG-007) de OWASP consiste en determinar si la aplicación web siempre intercambia información con el navegador a través de HTTPS. Para ello debemos revisar si está presente el campo Strict-Transport-Security en la cabecera de la respuesta HTTP de la aplicación Web, esto indica que se está forzando al navegador a usar el mecanismo HSTS.

Para ello debemos utilizar cualquier herramienta que sirva como proxy interceptor como ZAP, revisando en el encabezado el campo Strict-Transport-Security:

P9.1

Encabezado HTTP

O simplemente usar un comando de la terminal como curl:

curl –I –s –k http://Misitio.com/ | grep Strict

Obteniendose un resultado similar a este:

Strict-Transport-Security: max-age=…

Espero que te haya gustado el post y si quieres que profundice en alguno de los temas tratados deja tu comentario que tus dudas y recomendaciones serán atendidas.

Anuncios

8 comentarios en “HTTP Strict Transport Security (OTG-CONFIG-007)

  1. Pingback: HTTP Strict Transport Security (HSTS) | Behique Digital

  2. Pingback: Configurando OWASP ZAP para la intercepción por proxy | Behique Digital

  3. Pingback: Si administras un CMS debe interesarte la alerta elaborada por la Public Safety Canada y el U.S. Department of Homeland Security | Behique Digital

  4. Pingback: La OTG-AUTHN-001 de OWASP propone comprobar si las credenciales viajan sobre un canal encriptado | Behique Digital

  5. Pingback: Mis notas de cURL | Behique Digital

  6. Pingback: ¿El suficiente que el método POST sea más seguro que el método GET? Un simple experimento demuestra que no | Behique Digital

  7. Pingback: Guía de Pruebas de OWASP 4.0 | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s