Abordar los elementos comunes del informe de auditoría de seguridad

Descripción:

 

El alcance de este artículo es brindar orientación sobre cómo abordar los elementos que se ven comúnmente en un informe de auditoría de seguridad (resultado del análisis VAPT)

 

Alcance

 

FortiWeb v7.0 y anteriores

 

Solución

 

Cookies: indicador de SameSite no utilizado

  • para cookies internas esto se puede habilitar a través de CLI

 

 

config server-policy policy edit <policy name> set internal-cookie-samesite enable internal-cookie-samesite-value {strict | lax | none} end

 

 

https://docs.fortinet.com/document/FortiWeb/7.0.0/cli-reference/338812/server-policy-policy#internal…

https://docs.fortinet.com/document/FortiWeb/7.0.0/cli-reference/338812/server-policy-policy#internal… 


Cookies: bandera segura no utilizada

  • para cookies externas (es decir, provenientes del servidor back-end), este indicador se puede agregar a través de Protección web > Seguridad de cookies

https://docs.fortinet.com/document/FortiWeb/7.0.0/administration-guide/2851/cookie-security

  • para cookies internas esto se puede habilitar a través de CLI

 

 

config server-policy policy edit <policy name> set internal-cookie-secure enable end

 

 

https://docs.fortinet.com/document/FortiWeb/7.0.0/cli-reference/338812/server-policy-policy#internal…


Encabezado: falta la seguridad de transporte estricta de HTTP

  • puede agregar este encabezado a través de Política > Política del servidor > <nombre de la política>; Configuración avanzada de SSL > Inserción de encabezado HTTPS > Agregar encabezado HSTS

https://docs.fortinet.com/document/FortiWeb/7.0.0/administration-guide/201872/configurando-un-http-se…


Encabezado: falta la política de seguridad de contenido
Encabezado: falta la política de referencia
Encabezado: faltan las opciones de tipo de contenido X
Encabezado: falta la protección X-XSS

  • puede agregar estos encabezados a través de Protección web > Protección avanzada > Seguridad de encabezado HTTP

https://docs.fortinet.com/document/FortiWeb/7.0.0/administration-guide/906820/http-security-headers


Encabezado: Versión del servidor web expuesta
Encabezado: X-AspNet-Version Exposed

  • estos encabezados se pueden enmascarar con las firmas de divulgación de información 080200001 y 080200005

https://docs.fortinet.com/document/FortiWeb/7.0.0/administration-guide/210196/blocking-known-attacks…


Método de OPCIONES HTTP Habilitado

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *