HTTP セキュリティヘッダの未検出への対応について (HTTP Security Header Not Detected)

Description

セキュリティ監査等で「HTTP セキュリティヘッダの未検出について (HTTP Security Header Not Detected)」について指摘を受けた場合があります。指摘される内容は概ね下記のようになります。
 
【内容】
この QID は、次の HTTP ヘッダが CWE-693 に従って存在しないことを報告します。Protection Mechanism Failure(保護メカニズムの不具合):
X-Content-Type-Options: この HTTP ヘッダはブラウザに、ファイルが Content-Type HTTP ヘッダで指定されているものとは異なる MIME タイプであると解釈させないようにします。
Strict-Transport-Security: HTTP の Strict-Transport-Security レスポンスヘッダ(HSTS)により、Web サーバが Web ブラウザ(またはその他の準拠するユーザエージェント)に安全な HTTPS 接続のみを使用してやり取りすべきで、安全でない HTTP プロトコルを介してやり取りしてはならないと宣言します。
QID の検出ロジック:
この未認証の QID は、次のような HTTP レスポンスが存在するかどうかを検索します:
有効な指示子は以下のとおりです: X-Content-Type-Options: nosniff
 
Strict-Transport-Security: max-age=< [;includeSubDomains]
 
【影響】
悪用される脆弱性にもよって異なりますが、認証されていないリモートの攻撃者がクロスサイトスクリプティング攻撃、クリックジャック攻撃、MIME タイプスニッフィング攻撃を仕掛ける可能性があります。

Resolution

Image


ポータル>ポータルページの各ポータル毎の一般設定に「SMAに対してHTTPトランスポートセキュリティ厳格化を有効にする」というオプションがあります。上記設定が有効となっているかご確認ください。有効となっているにも関わらず指摘がある場合はサポートまでお問い合わせください。

Related Articles

  • How to Provision SMA1000 in Monthly Billing (MSSP Program)
    Read More
  • SMA 1000 Series Support Matrix
    Read More
  • How to Configure SAML 2.0 SSO with Microsoft Entra ID for SonicWall SMA 1000 Series
    Read More

Categories

Secure Mobile Access
SMA 100 Series
Portals
not finding your answers?
Ask the Community
Chat