Seguridad web, pregunta 1. X-Frame-Options header missing

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.721
Le tiré una revisión de vulnerabilidades a un sistema web basado en Centos7 + Apache + php 5.4 + Oracle y me saltaron varias cosas. La que les consulto en este thread es


Clickjacking: X-Frame-Options header missing

Recomendaciones
Configure your web server to include an X-Frame-Options header. Consult Web references for
more information about the possible values for this header.



¡Estuve googleando y tengo una duda: la X_Frame-Options se configura a nivel central, de apache, o en cada html?
 

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.920
Oigan así por ser como hacen test ustedes
a mi me compraron una licencia de este bicho https://www.qualys.com/ pero aun no le meto mano, por temas de tiempo (estamos hasta el loly con la iso)
 
Última modificación:
Upvote 0

Amenadiel

Ille qui nos omnes servabit
Fundador
OVERLORD
REPORTERO
Se incorporó
15 Enero 2004
Mensajes
18.398
Oigan así por ser como hacen test ustedes
a mi me compraron una licencia de este bicho https://www.qualys.com/ pero aun no le meto mano, por temas de tiempo (estamos hasta el loly con la iso)
https://observatory.mozilla.org/ es el referente

Qualys es como Mozilla obs pero tiene más tests y soporta agendar pruebas periódicas me parece

De todo lo que se puede implementar para efectos de ese puntaje, lo más peludo de afinar es el Content Security Policy o csp. De hecho, la última API que hice tuve que reescribirla en torno a CSP porque si no iba a terminar añadiendo doscientas excepciones.

Enviado desde mi HMA-L29 mediante Tapatalk
 
Upvote 0

gatofelixcc

Miembro Regular
Se incorporó
15 Julio 2008
Mensajes
35
https://observatory.mozilla.org/ es el referente

Qualys es como Mozilla obs pero tiene más tests y soporta agendar pruebas periódicas me parece

De todo lo que se puede implementar para efectos de ese puntaje, lo más peludo de afinar es el Content Security Policy o csp. De hecho, la última API que hice tuve que reescribirla en torno a CSP porque si no iba a terminar añadiendo doscientas excepciones.

Enviado desde mi HMA-L29 mediante Tapatalk
Saqué F en mi start up
 
Upvote 0
Subir