Seguridad web, pregunta 1. X-Frame-Options header missing

Zuljin

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Le tiré una revisión de vulnerabilidades a un sistema web basado en Centos7 + Apache + php 5.4 + Oracle y me saltaron varias cosas. La que les consulto en este thread es


Clickjacking: X-Frame-Options header missing

Recomendaciones
Configure your web server to include an X-Frame-Options header. Consult Web references for
more information about the possible values for this header.


¡Estuve googleando y tengo una duda: la X_Frame-Options se configura a nivel central, de apache, o en cada html?
 
Sort by date Sort by votes
Harima

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.958
Oigan así por ser como hacen test ustedes
a mi me compraron una licencia de este bicho https://www.qualys.com/ pero aun no le meto mano, por temas de tiempo (estamos hasta el loly con la iso)
 
Última modificación:
Upvote 0
Amenadiel

Amenadiel

Ille qui nos omnes servabit
Fundador
OVERLORD
REPORTERO
Se incorporó
15 Enero 2004
Mensajes
18.398
Harima dijo:
Oigan así por ser como hacen test ustedes
a mi me compraron una licencia de este bicho https://www.qualys.com/ pero aun no le meto mano, por temas de tiempo (estamos hasta el loly con la iso)
Haz clic para expandir...
https://observatory.mozilla.org/ es el referente

Qualys es como Mozilla obs pero tiene más tests y soporta agendar pruebas periódicas me parece

De todo lo que se puede implementar para efectos de ese puntaje, lo más peludo de afinar es el Content Security Policy o csp. De hecho, la última API que hice tuve que reescribirla en torno a CSP porque si no iba a terminar añadiendo doscientas excepciones.

Enviado desde mi HMA-L29 mediante Tapatalk
 
Upvote 0
gatofelixcc

gatofelixcc

Miembro Regular
Se incorporó
15 Julio 2008
Mensajes
35
Amenadiel dijo:
https://observatory.mozilla.org/ es el referente

Qualys es como Mozilla obs pero tiene más tests y soporta agendar pruebas periódicas me parece

De todo lo que se puede implementar para efectos de ese puntaje, lo más peludo de afinar es el Content Security Policy o csp. De hecho, la última API que hice tuve que reescribirla en torno a CSP porque si no iba a terminar añadiendo doscientas excepciones.

Enviado desde mi HMA-L29 mediante Tapatalk
Haz clic para expandir...
Saqué F en mi start up
 
Upvote 0
You must log in or register to reply here.
Subir