SSD-24 Beperking van te versturen HTTP-headers

Owned by Casper van Ginneken
Jul 28, 2021
1 min read

Norm

Rationale

Deze maatregel borgt dat aanvallers minimaal geïnformeerd worden door zo min mogelijk technische informatie op te nemen in HTTP-headers.

Implementatie

Webservers sturen bij een antwoord aan een gebruiker alleen die informatie in de HTTP-headers mee die van belang is voor het functioneren van HTTP.

Toelichting

Een aanvaller gebruikt technische informatie in HTTP response headers om een manier te vinden voor misbruik van de applicatie.

SSD

24

ISO 27001

n.v.t.

Beoordeling

Auditmethode

Stel op basis van de ontwerpen en procedures vast dat webservers bij een antwoord aan een gebruiker alleen die informatie in de HTTP-headers meesturen die van belang is voor het functioneren van HTTP. 

Verificatie

  • Bewijslast m.b.t. functionele inrichting en procedures.

  • Met wie gesproken is ter bevestiging van toepassing van de maatregelen.

Rollen

SLD

SLD

SLC

BH

BO

SLD = Softwareleverancier Dienstverlener, SLC = Softwareleverancier Consument, BH = Bronhouder, BO = Beheerorganisatie