Revisión de cabeceras de Seguridad y Certificado

Procedimiento

Podemos revisar las cabeceras de las respuestas de un servidor HTTP mediante varios métodos:

Navegador

Podemos obtener desde el navegador las cabeceras de cada petición que se lanza a una url (desde las herramientas para desarrollo del propio navegador). El problema es que para revisar las cabeceras directamente a una API puede ser un incomodo.

Ejemplo

 

Servicio OnLine

Podemos obtener a través de este servicio online un reporte: https://securityheaders.com/ . Activando siempre la opción de ocultar resultados para que no se hagan públicos.

 

Atención

Al ser un servicio online requiere que el servidor a analizar este publicado en internet (no es valido para analizar dentro de intranet).

NOTA: Para que pueda llevarse debe estar publico en internet.

Ejemplo

https://securityheaders.com/?q=onesait.com&hide=on&followRedirects=on

OWASP ZAP (Proxy)

Podemos introducir en el flujo de peticiones al servidor un proxy como OWASP ZAP y analizar el tráfico HTTP/HTTPS. También nos permite ver las cabeceras re las peticiones y respuestas.

En caso de analizar una API, el uso de esta herramienta es igual de cómodo que con una WEB.

Ejemplo

 

Descargar OWASP ZAP

Enlace de descarga de OWASP ZAP: https://owasp.org/www-project-zap/

 

Verificar que no se puede acceder vía HTTP

Para garantizar que solo funciona mediante HTTPS se puede editar la petición de, por ejemplo, https://www.onesait.com/  a http://www.onesait.com/ .

Si permite la navegación mediante HTTP entonces la configuración es incorrecta.

 

Revisión de los algoritmos de cifrado

Podemos revisar los algoritmos de cifrado soportados por el servidor HTTP mediante varios métodos:

SSLLabs

Este es un servicio online. Seleccionar que los resultados sean ocultos.

Atención

Al ser un servicio online requiere que el servidor a analizar este publicado en internet (no es valido para analizar dentro de intranet).

 

Ejemplo: https://www.ssllabs.com/ssltest/analyze.html?viaform=on&d=onesait.com&hideResults=on

Podemos ver una valoración mediante letras similar al sistema de notas anglosajón.

 

Esta captura es más especifica, pues nos muestras los algoritmos de cifrado del certificado los cuales son débiles.

Immuniweb

Este es un servicio online.

 

Ejemplo: https://www.immuniweb.com/ssl/?id=D8Gqhv3a

 

Recomendación

Recomendamos utilizar TLSv1.2 como mínimo (mejor TLSv1.2 y TLSv1.3), comprobar si es necesario dar soporte a los algoritmos de cifrado que se consideren débiles ( "WEAK") y nunca dar soporte inseguros ("INSECURE").