AppSync. Удаленный сервер HTTPS не отправляет заголовок HTTP Strict-Transport-Security (HSTS). Уязвимость

Сводка: Тенейбл Нессус сообщает о ложных оповещениях для порта 8444 на сервере AppSync.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Симптомы

Tenable Nessus ошибочно выдает следующее сообщение для порта 8444, для которого не существует CVE: 
The remote web server is not enforcing HSTS, as defined by RFC 6797. HSTS is an optional response header that can be configured on the server to instruct the browser to only communicate via HTTPS. The lack of HSTS allows downgrade attacks, SSL-stripping man-in-the-middle attacks, and weakens cookie-hijacking protections.

Причина

Стороннее программное обеспечение сообщает о ложной тревоге системы безопасности.

Разрешение

Технический отдел AppSync подтвердил, что это ложное оповещение, и заверил заказчиков, что опубликованные AppSync API на портах 8444 или 8445 защищены с включенным HSTS.

Дополнительная информация

HTTP Strict Transport Security (HSTS) — это простой, широко поддерживаемый стандарт для защиты посетителей, гарантирующий, что их браузеры всегда подключаются к веб-сайту по протоколу HTTPS.

Это URL-адрес, на который перенаправляет AppSync, и он автоматически использует HTTPS. 
Copyof URL address 
https:  //AppSync01:8444/auth/realms/appsync/protocol/openid-connect/auth?client_id=appsync_  ...

Затронутые продукты

AppSync
Свойства статьи
Номер статьи: 000217002
Тип статьи: Solution
Последнее изменение: 18 Sep 2025
Версия:  4
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.