本文档介绍了与 McAfee 应用程序保持工程相关的支持位置。
McAfee Enterprise 对缺少 HTTP Security 标头和 CWE-693 的响应:
保护机制故障
概述
此文档解决了有关 ePO 上漏洞扫描程序报告的缺少 HTTP 安全标头的问题。 查看其他信息,位于
CWE-693: 保护机制故障.
描述
一些漏洞扫描程序可能将 HTTP 端口 8443 和端口 8444 标记为以下漏洞:
CWE-693 - 保护机制故障
QID 11827 - HTTP检测到安全标头
PluginID 84502 - HTTPS 服务器中缺少 HSTS
以下标题属于此漏洞的一部分:
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Content-Security-Policy
- Strict-Transport-Security
研究和结论
工程部门对这一发现进行了研究,并得出结论认为 ePO 并
不易受攻击。
- X-Frame-Options:ePO 添加X-Frame-Options uses SAMEORIGIN,且 ePO 会抵御clickjacking攻击。
- X-XSS-Protection:XSS 注入和呈现在 ePO 中具有多层缓解。 不可信或用户提供的数据在渲染时被正确存储(如果需要)和转义(编码),以防止 XSS。 ePO 负责阻止 XSS,无需使用X-XSS-Protection头。
- X-Content-Type-Options:大多数 ePO 内容具有准确的内容类型。 任何非内容类型的内容都是静态内容,由 ePO/托管MFS。 用户上传的内容具有相应的内容类型,可防止 MIMIE 嗅探。 此外,Chrome和 Internet Explorer 也容易出现 MIME 探查,但使用最新版本的 Chrome 和 Internet Explorer 时,MIME 探查无法进行。
- Content-Security-Policy:ePO 不充当任何使用从外部来源加载的脚本的 HTML 文件,因此缺少此标题对提供的内容没有任何影响。
- Strict-Transport-Security:更新至 ePO5.10更新 9 或更高版本。 看到KB93817 - 如何HTTP标准传输安全 (HTTPS) 安装.
免责声明
本声明中提及的任何未来产品发布日期都旨在概述我们的一般产品方向。 在做出购买决定时,不得依赖它们:
- 产品发布日期仅供参考,可能不会合并到任何合同中。
- 产品发行日期并非进行放大、修改或合法修改,以提供任何材料、代码或功能。
- 对于我们产品所描述的任何功能或功能的开发、发布和计时,都是我们的唯一决定。 可以随时更改或取消更改。