HTTP Strict-Transport-Security 缺失

发表于2022-11-25|更新于2025-08-27|漏洞篇

|总字数:456|阅读时长:1分钟|浏览量:

0x01 漏洞描述

- HTTP Strict-Transport-Security 缺失 -

Web 服务器对于 HTTP 请求的响应头缺少 Strict-Transport-Security，这将导致浏览器提供的安全特性失效，更容易遭受 Web 前端黑客攻击的影响。HTTP Strict Transport Security（通常简称为 HSTS）是一个安全功能，它告诉浏览器只能通过 HTTPS 访问当前资源，而不是 HTTP。当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 时，浏览器将持续使用 HTTPS 来访问 Web 站点，可以用来对抗协议降级攻击和 Cookie 劫持攻击。

Strict-Transport-Security 可选配置的值如下：

1
2
3

strict-transport-security: max-age=<expire-time>
strict-transport-security: max-age=<expire-time>; includeSubDomains
strict-transport-security: max-age=<expire-time>; includeSubDomains; preload

示例：

1	strict-transport-security: max-age=31536000; includeSubDomains; preload

释义：

max-age=31536000 设置在浏览器收到这个请求后的 31536000 秒（等价于 1 年）的时间内，凡是访问这个域名下的请求都使用 HTTPS 请求。
includeSubDomains 可选，如果这个可选的参数被指定，那么说明此规则也适用于该网站的所有子域名。
preload 可选，加入预加载列表。

0x02 漏洞等级

威胁级别

高危

中危

低危

0x03 漏洞验证

可使用验证工具列举如下：

在线检测网站：https://securityheaders.com/?q=http://www.luckysec.cn/
curl 命令工具：curl -I "http://www.luckysec.cn/"
浏览器工具： F12 打开浏览器控制台网络查看网站响应头。
网络抓包工具：常用BurpSuite等工具。

检测目标网站 HTTP 响应头 Strict-Transport-Security 缺失。

0x04 漏洞修复

修改网站配置文件，推荐在所有传出请求上发送值为 max-age=31536000; includeSubDomains; preload 的 Strict-Transport-Security 响应头。
Strict-Transport-Security 配置详解：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Strict-Transport-Security

文章作者: 鸣剑

文章链接: http://www.mkeysafe.com/posts/77268c05.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源鸣剑Sec！

HTTP 配置不当

相关推荐

HTTP X-Content-Type-Options 缺失

Web 服务器对于 HTTP 请求的响应头缺少 X-Content-Type-Options，这意味着此网站更易遭受跨站脚本攻击（XSS）。X-Content-Type-Options 响应头相当于一个提示标志，被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型的设定，而不能对其进行修改，这就禁用了客户端的 MIME 类型嗅探行为。浏览器通常会根据响应头 Content-Type 字段来分辨资源类型，有些资源的 Content-Type 是错的或者未定义，这时浏览器会启用 MIME-sniffing 来猜测该资源的类型并解析执行内容。利用这个特性，攻击者可以让原本应该解析为图片的请求被解析为 JavaScript 代码。

HTTP X-Frame-Options 缺失

Web 服务器对于 HTTP 请求的响应头缺少 X-Frame-Options，这意味着此网站存在遭受点击劫持攻击的风险。X-Frame-Options 响应头可被用于指示允许一个页面可否在 frame、iframe、embed 或者 object 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面，从而避免点击劫持攻击。

HTTP X-XSS-Protection 缺失

Web 服务器对于 HTTP 请求的响应头缺少 X-XSS-Protection，这意味着此网站更易遭受跨站脚本攻击（XSS）。X-XSS-Protection 响应头是 Internet Explorer、Chrome 和 Safari 的一个特性，当检测到跨站脚本攻击（XSS）时，浏览器将停止加载页面。

不安全的 HTTP 方法

目标服务器启用了不安全的HTTP方法，例如PUT、DELETE、COPY、MOVE、SEARCH、PROPFIND、TRACE等。不合理的权限配置有可能允许未授权的用户对其进行利用，例如攻击者可以通过PUT方法直接上传WebShell文件到有写权限的目录，从而控制网站。

会话 Cookie 未设置 HttpOnly 属性

Web 应用程序设置了不含 HttpOnly 属性的会话 Cookie，因此注入站点的恶意脚本可能访问并窃取 Cookie 值。任何存储在会话令牌中的信息都可能会被窃取，它们可能被用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。JavaScript Document.cookie API 无法访问带有 HttpOnly 属性的 Cookie，此类 Cookie 仅作用于服务器。例如，持久化服务器端会话的 Cookie 不需要对 JavaScript 操作，而应具有 HttpOnly 属性。会话 Cookie 设置 HttpOnly 属性，此预防措施有助于缓解跨站点脚本（XSS）攻击。

会话 Cookie 未设置 Secure 属性

Web 应用程序设置了不含 Secure 属性的会话 Cookie，这意味着 Cookie 信息在传递的过程中容易被监听捕获造成信息泄露。标记为 Secure 的 Cookie 只会通过被 HTTPS 协议加密过的请求发送给服务端进行会话验证，它永远不会使用不安全的 HTTP 发送传输（本地主机除外），这意味着中间人攻击者无法轻松访问它。此外，在不安全的站点（在 URL 中带有 `http://`）无法使用 Secure 属性设置的 Cookie 值。

数据加载中