DPC: DPC-Yanlış HSTS TTL Nessus tarayıcı bildiriyor
Summary: Makalede Nessus tarayıcıyla ilgili sorunlar ele alınmaktadır ve Chrome Web Geliştirici araçları HSTS TTL'yi göstermektedir.
Symptoms
Nessus tarayıcı ve Chrome Web Geliştirici araçları, HSTS TTL'yi 15.780.000 sn (altı Ay) olarak gösterir.
Güvenlik için bunun en az 31536000 (bir Yıl) olması gerekir.
Cause
Resolution
HSTS için DPC'deki varsayılan ayar 63072000 (iki Yıl) olduğundan bu genellikle yanlış pozitiftir.
Ayarları kontrol etmek için SSH/Putty yi yönetici olarak kullanarak DPC'de oturum açın ve su - köklendirmek için aşağıdaki komutu çalıştırın:
-
curl -k -i https://<DPCFQDN> |less
Burada <DPCFQDN> , DPC sunucusunun FQDN'sidir. - Aşağıdakine benzer bir çıktı alırsınız:
Server: nginx Date: Wed, 22 Nov 2023 19:52:17 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 648123 Connection: keep-alive X-DNS-Prefetch-Control: off X-Frame-Options: SAMEORIGIN Strict-Transport-Security: max-age=15552000; includeSubDomains X-Download-Options: noopen X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Accept-Ranges: bytes Cache-Control: public, max-age=0 Last-Modified: Mon, 11 Sep 2023 12:07:27 GMT ETag: W/"9e3bb-18a8423b418" Cache-Control: no-cache, no-store, must-revalidate Pragma: no-cache Expires: 0 X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=63072000; includeSubdomains; Content-Security-Policy: frame-ancestors 'self'; object-src 'self'; default-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline';
'Strict-Transport-Security: max-age=63072000; includeSubdomains;' satırı, bunun 63072000 s veya 2 years olarak ayarlandığını gösterir.
Ayrıca şunları da kontrol edebilirsiniz: /etc/nginx/conf.d/default.conf dosyasında, max-age'i gösteren aşağıdaki bölümleri görürsünüz:
Aşağıda, yukarıdakiyle aynı sistem için Chrome'daki web Geliştirici araçlarından alınan çıktı yer almaktadır: