Revisión de cabeceras de Seguridad y Certificado
Procedimiento
Podemos revisar las cabeceras de las respuestas de un servidor HTTP mediante varios métodos:
Navegador
Podemos obtener desde el navegador las cabeceras de cada petición que se lanza a una url (desde las herramientas para desarrollo del propio navegador). El problema es que para revisar las cabeceras directamente a una API puede ser un incomodo.
Ejemplo
Servicio OnLine
Podemos obtener a través de este servicio online un reporte: https://securityheaders.com/ . Activando siempre la opción de ocultar resultados para que no se hagan públicos.
Atención
Al ser un servicio online requiere que el servidor a analizar este publicado en internet (no es valido para analizar dentro de intranet).
NOTA: Para que pueda llevarse debe estar publico en internet.
Ejemplo
https://securityheaders.com/?q=onesait.com&hide=on&followRedirects=on
OWASP ZAP (Proxy)
Podemos introducir en el flujo de peticiones al servidor un proxy como OWASP ZAP y analizar el tráfico HTTP/HTTPS. También nos permite ver las cabeceras re las peticiones y respuestas.
En caso de analizar una API, el uso de esta herramienta es igual de cómodo que con una WEB.
Ejemplo
Descargar OWASP ZAP
Enlace de descarga de OWASP ZAP: https://owasp.org/www-project-zap/
Verificar que no se puede acceder vía HTTP
Para garantizar que solo funciona mediante HTTPS se puede editar la petición de, por ejemplo, https://www.onesait.com/ a http://www.onesait.com/ .
Si permite la navegación mediante HTTP entonces la configuración es incorrecta.
Revisión de los algoritmos de cifrado
Podemos revisar los algoritmos de cifrado soportados por el servidor HTTP mediante varios métodos:
SSLLabs
Este es un servicio online. Seleccionar que los resultados sean ocultos.
Atención
Al ser un servicio online requiere que el servidor a analizar este publicado en internet (no es valido para analizar dentro de intranet).
Ejemplo: https://www.ssllabs.com/ssltest/analyze.html?viaform=on&d=onesait.com&hideResults=on
Podemos ver una valoración mediante letras similar al sistema de notas anglosajón.
Esta captura es más especifica, pues nos muestras los algoritmos de cifrado del certificado los cuales son débiles.
Immuniweb
Este es un servicio online.
Ejemplo: https://www.immuniweb.com/ssl/?id=D8Gqhv3a
Recomendación
Recomendamos utilizar TLSv1.2 como mínimo (mejor TLSv1.2 y TLSv1.3), comprobar si es necesario dar soporte a los algoritmos de cifrado que se consideren débiles ( "WEAK") y nunca dar soporte inseguros ("INSECURE").