Strict-Transport-Security (HSTS) not enforced
Strict-Transport-Security (HSTS) non appliqué
Description
L'en-tête de réponse HTTP Strict-Transport-Security (en abrégé HSTS) permet à un site web d'indiquer aux navigateurs qu'il ne doit être accessible qu'en utilisant HTTPS, au lieu de HTTP.
Pour exploiter cette vulnérabilité, un attaquant doit intercepter et modifier le trafic réseau de la cible.
Cela nécessite que le client communique avec le serveur via une connexion non sécurisée telle qu'un Wi-Fi public.
Recommandation
Le serveur doit ajouter l'en-tête Strict-Transport-Security à toutes les réponses HTTP pour indiquer au navigateur d'utiliser la sécurité de transport.
HSTS n'est effectif qu'après une première utilisation, un utilisateur qui n'a jamais accédé à l'application est toujours vulnérable aux attaques de type SSL stripping.