MÉTHODOLOGIE DE NOTATION WEBSEC

  • Au début du test, le score est fixé à 100.
  • Des points sont ajoutés pour une configuration bonne et fiable de votre site web et serveur web.
  • Des points sont déduits pour une configuration non sécurisée, incomplète ou peu fiable de votre site web ou serveur web.
  • Le total des points pour tous les CMS et composants CMS détectés ne sera pas inférieur à -50 ou supérieur à +50.
  • Le total des points pour tous les composants JS détectés ne sera pas inférieur à -20 ou supérieur à +20.
  • Le total des points pour toutes les méthodes HTTP et CSP ne sera pas inférieur à -30 ou supérieur à +30.
  • Le total des points pour tous les cookies ne sera pas inférieur à -10 ou supérieur à +10.
  • Aucun site web ne peut obtenir un score supérieur à "C" si un logiciel vulnérable est trouvé.
  • Aucun site web ne peut obtenir un score supérieur à "B+" si le CMS n'est pas à jour.
  • Aucun site web ne peut obtenir un score inférieur à "C" si son CMS et ses composants CMS n'ont pas de vulnérabilités connues.
  • Le serveur obtient un "N" si un port testé est fermé ou si le code de statut HTTP n'est pas 200, 301, 302, 303, 307 ou 308.
Note
Score
Note
Score
Note
Score
A+
Score supérieur à 100
A
Score entre 90 et 99
A-
Score entre 80 et 89
B+
Score entre 70 et 79
B
Score entre 60 et 69
B-
Score entre 50 et 59
C+
Score entre 35 et 49
C
Score entre 25 et 34
F
Score inférieur à 20

Sécurité et Conformité du Site Web

Description
Score
WAF est présent
+20
WAF est manquant
-5
CMS est à jour
+20
CMS n'est pas à jour
-15
CMS n'est pas à jour et est vulnérable
-50
Composant CMS est à jour
+15
Composant CMS n'est pas à jour
-10
Composant CMS n'est pas à jour et est vulnérable
-30
Composant JS est à jour
+10
Composant JS n'est pas à jour
-5
Composant JS n'est pas à jour et est vulnérable
-30
Le serveur prend en charge les méthodes HTTP personnalisées
-10
Le serveur prend en charge les méthodes HTTP TRACE, TRACK ou CONNECT
-10
Un cookie n'a pas l'attribut HttpOnly défini
-5
Un cookie a l'attribut Secure défini
+5
Un cookie a l'attribut SameSite défini sur Lax
+5
Un cookie a l'attribut SameSite défini sur Strict
+5
Un cookie n'a pas l'attribut SameSite défini
-1
Le nom d'un cookie a le préfixe "__Secure-" et ses conditions préalables
+5
Le nom d'un cookie a le préfixe "__Host-" et ses conditions préalables
+5
L'indexation des répertoires du serveur web est activée
-10
Le site web utilise des ressources provenant de domaines tiers qui ne peuvent pas être résolus
-30

Notation des En-Têtes de Sécurité HTTP et de la Politique de Sécurité de Contenu

Nom de l'en-tête
Description
Via HTTP
Via HTTPS
Baimenak-Policy
Goiburua bertan dago eta balio du
+15
+15
Baimenak-Policy
Goiburua bertan dago eta gaizki konfiguratuta dago
-10
-10
Access-Control-Allow-Origin
Goiburua presente eta baliozkoa
+5
+5
Strict-Transport-Security
Goiburua presente, baliozkoa eta aplikatua
0
+25
Strict-Transport-Security
Goiburukoa ez dago
0
-20
Strict-Transport-Security
Goiburuak 6 hilabete baino gutxiago irauten du
0
10
Strict-Transport-Security
Zerbitzariaren ziurtagiria ez da konfiantzazkoa
0
-1
X-Frame-Options
Goiburua presente eta baliozkoa
+15
+15
X-Frame-Options
Goiburuaren balioa ALLOWALL
-10
-10
X-Content-Type-Options
Goiburua presente eta baliozkoa
+15
+15
X-Content-Type-Options
Goiburukorik ez
-10
-10
Content-Security-Policy
Goiburua badago
+20
+20
Content-Security-Policy
Goiburua ez dago
-20
-20
Content-Security-Policy
Goiburuak 'none' edo 'self' gisa konfiguratutako default-src bat du
+5
+5
Content-Security-Policy
Goiburuak komodin bat du helbide default-src direktiban
-10
-10
Content-Security-Policy
Goiburuak komodin bat du beste edozein direktibatan
-10
0
Content-Security-Policy
Goiburuak aukerak frame-ancestors direktiba konfiguratuta eta iturriak mugatuta ditu, eta X-Frame-Options goiburua ez dago konfiguratuta
+10
+10
Content-Security-Policy
Goiburuak frame-ancestors direktiba komodinez konfiguratua du, eta X-Frame-Options goiburua ez dago konfiguratuta
+5
+5
Content-Security-Policy
Goiburuak frame-ancestors direktiba konfiguratua du, eta bat dator X-Frame-Options goiburuaren balioarekin
+5
+5
Content-Security-Policy
Goiburuak frame-ancestors direktiba konfiguratua du, eta ez dator bat X-Frame-Options goiburuaren balioarekin
-5
-5
Content-Security-Policy
Goiburuak XSS en blokeoa gaitzen du
+15
+15
Content-Security-Policy
Goiburua aukerak XSS iragazteko aukera ematen du
+15
+15
Content-Security-Policy
Goiburuak reflected-xss direktiba konfiguratua du
+5
+5
Content-Security-Policy
Goiburuak upgrade-insecure-requests edo block-all-mixed-content zuzentaraua du konfiguratuta
+5
+5
Server
Goiburuak zerbitzariaren softwarearen bertsioa bistaratzen du
-5
-5
X-Powered-By
Goiburuak zerbitzariaren softwarearen bertsioa erakusten du
-5
-5
X-AspNet-Version
Goiburuak zerbitzariaren softwarearen bertsioa erakutsiko du
-5
-5