Proyecto OWASP Secure Headers Project
El OWASP Secure Headers Project (también llamado OSHP) describe los encabezados de respuesta HTTP que una aplicación web puede usar para aumentar su seguridad. Una vez configurados, estos encabezados de respuesta HTTP pueden impedir que los navegadores modernos se encuentren con vulnerabilidades fácilmente prevenibles.
Los encabezados HTTP son bien conocidos y también muy "despreciados". Buscando un equilibrio entre usabilidad y seguridad, los desarrolladores implementan funcionalidades a través de las cabeceras que pueden hacer que las aplicaciones sean más versátiles o seguras. Pero en la práctica, ¿cómo se implementan los encabezados? ¿Qué sitios siguen las mejores prácticas de implementación? ¿Grandes empresas, pequeñas, todas o ninguna?
El proyecto OWASP Secure Headers tiene como objetivo proporcionar elementos sobre los siguientes aspectos relacionados con los encabezados de seguridad HTTP:
- Orientación sobre los encabezados de seguridad HTTP recomendados que se pueden aprovechar.
- Orientación sobre los encabezados HTTP que deben eliminarse.
- Herramientas para validar una configuración de encabezado de seguridad HTTP.
- Bibliotecas de código que se pueden aprovechar para configurar los encabezados de seguridad HTTP recomendados.
- Estadísticas sobre el uso de los encabezados de seguridad HTTP recomendados.
- API REST que permite obtener la configuración recomendada para diferentes servidores web.
✅ Activos
- Strict-Transport-Security
- X-Frame-Options
- X-Content-Type-Options
- Content-Security-Policy
- X-Permitted-Cross-Domain-Policies
- Referrer-Policy
- Clear-Site-Data
- Cross-Origin-Embedder-Policy
- Cross-Origin-Opener-Policy
- Cross-Origin-Resource-Policy
- Cache-Control
- Permissions-Policy
❌ Obsoletos
Todas las herramientas proporcionadas por OSHP están reunidas en su repo de GitHub y una presentación del proyecto está disponible en Youtube.
Finalmente, OWASP proporciona un conjunto de pruebas mediante la herramienta VENOM para validar la configuración de encabezados de respuesta de seguridad HTTP contra las recomendaciones brindadas.
Fuente: OWASP
¡ https://securityheaders.com/ !
ResponderBorrar