[Technique] Vérifier (et corriger) les vulnérabilités détectées par Nuclei

[hmeneuvrier]

http://dashlord.mte.incubateur.net/url/histologe-beta-gouv-fr/securite/

https://projectdiscovery.io/nuclei

[hmeneuvrier]

https://projectdiscovery.io/nuclei --> 100$/mois

[hmeneuvrier]

• [ ] NS Record Detection (nameserver-fingerprint):

  Description: Détection des enregistrements de serveurs de noms (NS) pour votre domaine. Action: Vérifiez que vos enregistrements NS pointent vers des serveurs de noms sécurisés et fiables.

• [ ] MX Record Detection (mx-fingerprint):

  Description: Détection des enregistrements de mail (MX) pour votre domaine. Action: Assurez-vous que vos enregistrements MX sont configurés correctement pour éviter les problèmes de livraison de courriel.

• [ ] CAA Record (caa-fingerprint):

  Description: Détection des enregistrements CAA qui spécifient les autorités de certification autorisées à émettre des certificats pour votre domaine. Action: Utilisez des enregistrements CAA pour spécifier les CA autorisées à émettre des certificats pour votre domaine.

• [ ] SPF Record - Detection (spf-record-detect):

  Description: Détection des enregistrements SPF qui spécifient les serveurs autorisés à envoyer des courriels pour votre domaine. Action: Configurez un enregistrement SPF pour protéger contre le spoofing et le phishing.

• [x] DNS TXT Record Detected (txt-fingerprint): Géré par Brevo et AlwaysData

• [x] DNS DMARC - Detect (dmarc-detect): Géré par Brevo et AlwaysData

• [x] WAF Detection (ats): Géré par Scalingo

• [x] XSS-Protection Header - Cross-Site Scripting (xss-deprecated-header): Cet entête est obsolète, il faudrait remplacer add_header X-XSS-Protection "1; mode=block"; par add_header X-XSS-Protection "0";https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection

• [x] Cookies without HttpOnly or Secure attribute - Detect (cookies-without-httponly-secure): Concernant les cookies, les 3 cookies qui n'ont ni HttpOnly, ni Secure semblent être des cookies betaGouv indépendant de notre volonté :

• [x] PHP Detect (php-detect): Version 8.1, à upgrader ? https://www.php.net/supported-versions.php

• [x] Wappalyzer Technology Detection (php): Version 8.1, à upgrader ? https://www.php.net/supported-versions.php

• [x] Form Detection (form-detection): Détection de formulaires sur le site, il faut vérifier que tous les formulaires sont sécurisés contre les injections et autres attaques. cf ticket https://github.com/MTES-MCT/histologe/issues/2646

• [x] HTTP Missing Security Headers: Ajout des entêtes suivants dans config nginx --> à ajouter ailleurs ?

  add_header Permissions-Policy "geolocation=(), camera=(), microphone=(), fullscreen=(), payment=(), accelerometer=(), ambient-light-sensor=(), gyroscope=(), magnetometer=(), usb=(), vibrate=()"
  add_header X-Permitted-Cross-Domain-Policies "none";
  add_header Referrer-Policy "no-referrer";
  add_header Cross-Origin-Embedder-Policy "require-corp";
  add_header Cross-Origin-Opener-Policy "same-origin";
  add_header Cross-Origin-Resource-Policy "same-origin";
  add_header Upgrade-Insecure-Requests "1";
  add_header X-Powered-By "none";

• [ ] HTaccess config file (htaccess-config): S'assurer que le .htaccess est configuré correctement, mais je ne sais pas où on le configure ??

• [x] robots.txt endpoint prober (robots-txt-endpoint): --> aucune information sensible dans le fichier robots.txt, il est correctement configuré

• [x] Detect SSL Certificate Issuer (ssl-issuer): Certificat délivré par Let's Encrypt R3 --> OK

• [x] SSL DNS Names (ssl-dns-names): CN est bien histologe.beta.gouv.fr --> OK

• [x] TLS Version - Detect (tls-version): Intermédiaire : TLS 1.2 et au-delà. Compatible avec la majorité des navigateurs. Recommandé. TLSv1.3 utilisée sur firefox --> OK