Strict-Transport-Security (HSTS) not enforced

Strict-Transport-Security (HSTS) no aplicado

Risk: hardening

Descripción

El encabezado de respuesta HTTP Strict-Transport-Security (abreviado HSTS) permite que un sitio web indique a los navegadores que solo se debe acceder a él mediante HTTPS, en lugar de utilizar HTTP.

Para explotar esta vulnerabilidad, un atacante debe interceptar y modificar el tráfico de red del objetivo.

Esto requiere que el cliente se comunique con el servidor a través de una conexión insegura, como una red Wi-Fi pública.

Recomendación

El servidor debe agregar el encabezado Strict-Transport-Security a todas las respuestas HTTP para indicar al navegador que utilice la seguridad de transporte.

HSTS solo es efectivo después del primer uso, un usuario que nunca ha accedido a la aplicación sigue siendo vulnerable a ataques de SSL stripping.

Enlaces