Author Topic: Nederlands provider domein met de nodige waarschuwingen  (Read 1908 times)

0 Members and 1 Guest are viewing this topic.

Offline polonus

  • Avast √úberevangelist
  • Probably Bot
  • *****
  • Posts: 32690
  • malware fighter
Nederlands provider domein met de nodige waarschuwingen
« on: September 28, 2014, 07:00:09 PM »
Zie de zwakke SSL scan resultaten hier: https://www.ssllabs.com/ssltest/analyze.html?d=online.nl
Zie de ASafaWeb Scan resultaten hier: https://www.ssllabs.com/ssltest/analyze.html?d=online.nl

HTTP to HTTPS redirect: Waarschuwing
Excessieve header info Waarschuwing:
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
X-AspNet-Version: 4.0.30319
HTTP-only cookies waarchuwing:
Result
Het schijnt dat 6 cookies geset worden zonder de "HttpOnly" vlag (name : value):

EktGUID : 75fc4346-e3fb-///////469-3c41///72971
EkAnalytics : 0
.ASPXAUTH :
ecmSecure :
BasketID :
ecm : user_id=0&isMembershipUser=0&site_id=&username=&new_site=/&unique_id=0&site_preview=0&langvalue=0&DefaultLanguage=////&NavLanguage=1043&LastValidLanguageID=/////&DefaultCurrency=978&SiteCurrency=////&ContType=&UserCulture=//////&dm=www.online.nl&SiteLanguage=///////dvcMdl=Generic&dvcOs=Generic&dvcType=1&dvcResWidth=
(/// toegevoegd door mij, pol)

Secure Cookies Waarschuwing zie bovenstaand.
Clickjacking waarschuwing
Security Headers Onveiligheden:

X-Frame-Options schijnt niet voor te komen in de HTTP header van de site, dit verhoogt het gevaar van succesolle clickjack aanvallen.

Strict-Transport-Security schijnt niet voor te komen in de HTTP header van de site, dus proberen browsers de site niet eerst via SSL te bereiken.

nosniff lomt kennelijk niet voor in de HTTP header,dit geeft Internet Explorer de mogelijkheid om malware content via data te versturen die incorrect worden gekenmerkt als zijnde van een bepaald  MIME type.

We konden geen vermelding van de X-XSS-Protection in de headers tegenkomen, er is kennelijk ruimte voor verbetering als we zo veilig mogelijk willen zijn tegen cross site script aanvallen.

We konden  Content-Security-Policy , x-webkit-csp, or zelfs x-webkit-csp-report-only niet in de  HTTP header vinden, dit maakt XSS aanvallen  mogelijk gemakkelijker.

Server: werd aangetroffen in de HTTP header van de site, mogelijk maakt dit het voor aanvallers makkelijker om mogelijke kwetsbaarheden op te sporen die op de site slaan!

X-Powered-By werd aangetroffen on de HTTP header van de site, wat het mogelijk maakt dat aanvallers mogelijke kwetsbaarheden voor de site makkelijker kunnen vinden!

Permitted-Cross-Domain-Policies schijnt niet te worden aangetroffen in de HTTP header van de site dus is het mogelijk om cross domain policies in te stellen door andere gebruikers op de site en die worden vervolgens gevolgd door Adobe Flash and pdf bestanden.

Nog genoeg te doen voor online security staff lijkt me zo. Benieuwd hoe andere Nederlandse providers het eraf brengen.
Deze schijnt op een paar punten gezakt te zijn. Alleen geslaagd voor Promiscuous CORS Support & UTF-8 Character Encoding.

polonus
« Last Edit: September 28, 2014, 07:08:36 PM by polonus »
Cybersecurity is more of an attitude than anything else. Avast Evangelists.

Use NoScript, a limited user account and a virtual machine and be safe(r)!