[!info] TL;DR : Security Headers (Scott Helme) note de A+ à F la sécurité des HTTP response headers d'un site, gratuit et indispensable pour la sécu basique.
Security Headers : audit gratuit des headers HTTP
Outil web créé par Scott Helme (chercheur sécu) qui scanne les headers HTTP de réponse d'un site et donne une note de A+ à F selon les bonnes pratiques OWASP.
Ce que ça permet
- Scanner gratuitement n'importe quelle URL
- Analyser CSP, HSTS, X-Frame-Options, Referrer-Policy
- Recevoir note de A+ à F
- Voir Hall of Fame et Hall of Shame
- 368M+ sites scannés à ce jour
- Scan public ou privé (avec hide)
Pour qui
- Devs front et back en sécu web
- DevOps qui auditent en CI/CD
- SecOps qui valident un déploiement
- Tech leads qui sensibilisent les équipes
Mini-playbook
- Saisir l'URL à scanner
- Identifier les headers manquants ou mal configurés
- Implémenter (CSP, HSTS, X-Content-Type-Options...)
- Re-tester pour viser A+
Pièges
- Note basée sur headers, ne couvre pas vraies vulns
- CSP complexe à configurer correctement
- Outil pédagogique, pas un pen-test
- Alternatives : Mozilla Observatory, SSL Labs, ImmuniWeb, OWASP ZAP
- Une note A+ n'est pas un audit sécu complet
Tags
- Catégorie : 🎯 Sales & Prospection
- Tags : Site web, Free, Utilitaire, Dev