Avast WEBforum
Non-English Zone => Nederlands => Topic started by: polonus on September 28, 2014, 07:00:09 PM
-
Zie de zwakke SSL scan resultaten hier: https://www.ssllabs.com/ssltest/analyze.html?d=online.nl
Zie de ASafaWeb Scan resultaten hier: https://www.ssllabs.com/ssltest/analyze.html?d=online.nl
HTTP to HTTPS redirect: Waarschuwing
Excessieve header info Waarschuwing:
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
X-AspNet-Version: 4.0.30319
HTTP-only cookies waarchuwing:
Result
Het schijnt dat 6 cookies geset worden zonder de "HttpOnly" vlag (name : value):
EktGUID : 75fc4346-e3fb-///////469-3c41///72971
EkAnalytics : 0
.ASPXAUTH :
ecmSecure :
BasketID :
ecm : user_id=0&isMembershipUser=0&site_id=&username=&new_site=/&unique_id=0&site_preview=0&langvalue=0&DefaultLanguage=////&NavLanguage=1043&LastValidLanguageID=/////&DefaultCurrency=978&SiteCurrency=////&ContType=&UserCulture=//////&dm=www.online.nl&SiteLanguage=///////dvcMdl=Generic&dvcOs=Generic&dvcType=1&dvcResWidth=
(/// toegevoegd door mij, pol)
Secure Cookies Waarschuwing zie bovenstaand.
Clickjacking waarschuwing
Security Headers Onveiligheden:
X-Frame-Options schijnt niet voor te komen in de HTTP header van de site, dit verhoogt het gevaar van succesolle clickjack aanvallen.
Strict-Transport-Security schijnt niet voor te komen in de HTTP header van de site, dus proberen browsers de site niet eerst via SSL te bereiken.
nosniff lomt kennelijk niet voor in de HTTP header,dit geeft Internet Explorer de mogelijkheid om malware content via data te versturen die incorrect worden gekenmerkt als zijnde van een bepaald MIME type.
We konden geen vermelding van de X-XSS-Protection in de headers tegenkomen, er is kennelijk ruimte voor verbetering als we zo veilig mogelijk willen zijn tegen cross site script aanvallen.
We konden Content-Security-Policy , x-webkit-csp, or zelfs x-webkit-csp-report-only niet in de HTTP header vinden, dit maakt XSS aanvallen mogelijk gemakkelijker.
Server: werd aangetroffen in de HTTP header van de site, mogelijk maakt dit het voor aanvallers makkelijker om mogelijke kwetsbaarheden op te sporen die op de site slaan!
X-Powered-By werd aangetroffen on de HTTP header van de site, wat het mogelijk maakt dat aanvallers mogelijke kwetsbaarheden voor de site makkelijker kunnen vinden!
Permitted-Cross-Domain-Policies schijnt niet te worden aangetroffen in de HTTP header van de site dus is het mogelijk om cross domain policies in te stellen door andere gebruikers op de site en die worden vervolgens gevolgd door Adobe Flash and pdf bestanden.
Nog genoeg te doen voor online security staff lijkt me zo. Benieuwd hoe andere Nederlandse providers het eraf brengen.
Deze schijnt op een paar punten gezakt te zijn. Alleen geslaagd voor Promiscuous CORS Support & UTF-8 Character Encoding.
polonus