这些Bug你遇到过几个?盘点10个常见安全测试漏洞及修复建议
随着互联网技术的飞速发展,业务的开展方式更加灵活,应用系统更加复杂,也因此面临着更多的安全性挑战。安全测试是在应用系统投产发布之前,验证应用系统的安全性并识别潜在安全缺陷的过程,目的是防范安全风险,满足保密性、完整性、可用性等要求。
日常测试过程中经常遇到开发同事来询问一些常见的配置型漏洞应该如何去修复,为了帮助开发同事快速识别并解决问题,通过总结项目的安全测试工作经验,笔者汇总、分析了应用系统的一些常见配置型漏洞并给出相应的修复建议,在这里给大家进行简单的分享。
一、Cookie缺少HttpOnly属性
漏洞描述
Cookie中的HttpOnly属性值规定了Cookie是否可以通过客户端脚本进行访问,能起到保护Cookie安全的作用,如果在Cookie中没有将HttpOnly属性设置为true,那么攻击者就可以通过程序(JS脚本、Applet等)窃取用户Cookie信息,增加攻击者的跨站脚本攻击威胁。窃取的Cookie中可能包含标识用户的敏感信息,如ASP.NET会话标识等,攻击者借助窃取的Cookie达到伪装用户身份或获取敏感信息的目的,进行跨站脚本攻击等。
修复建议
向所有会话Cookie中添加"HttpOnly"属性。
1)Java语言示例:
2)C#语言示例:
3)VB.NET语言示例:
二、加密会话(SSL)Cookie缺少secure属性
漏洞描述
对于敏感业务,如登录、转账、支付等,需要使用HTTPS来保证传输安全性,如果会话Cookie缺少secure属性,Web应用程序通过SSL向服务器端发送不安全的Cookie,可能会导致发送到服务器的Cookie被非HTTPS页面获取,造成用户Cookie信息的泄露。如果启用了secure属性,浏览器将仅在HTTPS请求中向服务端发送cookie内容。
修复建议
向所有敏感的Cookie添加"secure"属性。
1)服务器配置为HTTPS SSL方式;
2)Servlet 3.0环境下对web.xml文件进行如下配置:
3)ASP.NET中对Web.config进行如下配置:
php.ini中进行如下配置:
或者
或者
在weblogic中进行如下配置:
三、缺少"Content-Security-Policy"头
漏洞描述
因Web应用程序编程或配置不安全,导致HTTP响应缺少"Content-Security-Policy"头,可能产生跨站脚本攻击等隐患,可能会收集有关Web应用程序的敏感信息,如用户名、密码、卡号或敏感文件位置等。
修复建议
将服务器配置为使用安全策略的"Content-Security-Policy"头。
在web.config 配置文件中添加如下HTTP响应头:
使用meta标签:
四、缺少"X-Content-Type-Options"头
漏洞描述
因Web应用程序编程或配置不安全,导致缺少"Content-Security-Policy"头,可能产生偷渡式下载攻击等隐患。
修复建议
将服务器配置为使用值为"nosniff"的"X-Content-Type-Options"头。
在web.config 配置文件中添加如下响应头:
使用meta标签
五、缺少"X-XSS-Protection"头
漏洞描述
因Web应用程序编程或配置不安全,导致缺少"Content-Security-Policy"头,可能产生跨站脚本攻击等隐患。
修复建议
将服务器配置为使用值为"1"(已启用)的"X-XSS-Protection"头。
1)在web.config 配置文件中添加如下响应头:
使用meta标签
六、缺少"HTTP Strict-Transport-Security"头
漏洞描述
因Web应用程序编程或配置不安全,导致缺少 HTTP Strict-Transport-Security头。为了用户体验,有些网站允许使用HTTPS和HTTP访问,当用户使用HTTP访问时,网站会返回给用户一个302重定向到HTTPS地址,后续访问都使用HTTPS协议传输,但这个302重定向地址可能会被劫持篡改,被改成一个恶意的或者钓鱼HTTPS站点,导致敏感信息如用户名、密码、卡号或敏感文件位置泄露等风险。
修复建议
通过向 web 应用程序响应添加"Strict-Transport-Security"响应头来实施 HTTP严格传输安全策略,或实施具有足够长"max-age"的 HTTP Strict-Transport-Security策略,强制客户端(如浏览器)使用HTTPS与服务器创建连接。
七、容易出现点击劫持(Clickjacking)
漏洞描述
页面未能设置适当的X-Frame-Options或Content-Security-PolicyHTTP头,则攻击者控制的页面可能将其加载到iframe中,导致点击劫持攻击,此类攻击属于一种视觉欺骗手段,主要实现方式有两种:一是攻击者将一个透明的iframe覆盖在一个网页上,诱使用户在该页面上进行操作,那么用户就在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义。
修复建议
应用程序应该返回名称为X-Frame-Options、值DENY以完全防止成帧的响应头,或者返回值SAMEORIGIN以允许仅通过与响应本身相同的来源上的页进行成帧,或者通过ALLOW-FROMorigin设置白名单来限制允许加载的页面地址。
1)修改中间件配置:
a)IIS:
web.config 配置文件中添加如下响应头:
b)Apache:
c)Nginx:
使用meta标签
八、启用了不安全的HTTP方法
漏洞描述
Web服务器或应用服务器以不安全的方式进行配置,导致启用了WebDAV和不安全的HTTP方法,不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY等,可能会造成攻击者在Web服务器上上传、修改或删除Web页面、脚本和文件的隐患。
修复建议
禁用WebDAV。禁止不需要的HTTP方法(建议只使用GET和POST方法)。
1)Apache:
使用Apache的重写规则来禁用Options方法和Trace方法。在Apache配置文件httpd-conf中【vhosts-conf】添加以下代码:
单独禁用Trace方法:
单独禁用Options方法:
同时禁用Trace方法和Options方法:
2)Nginx:
在server段里加入下面代码:
重启Nginx,就可以屏蔽GET、POST之外的HTTP方法。
3)Tomcat:
修改web.xml配置文件。
4)IIS:
a)禁用WebDAV功能;
b)在web.config的【configuration】下添加如下代码:
九、"X-Powered-By"字段泄露服务器信息
漏洞描述
因Web服务器、应用服务器配置不安全,导致响应报文的响应头中"X-Powered-By"字段泄露服务器信息,攻击者可以通过获取服务器版本信息,收集相关漏洞,进行特定的攻击。
修复建议
隐藏响应头中"X-Powered-By"字段。
1)IIS:
修改web.config配置文件。
2)Nginx:
需要加上proxy_hide_header。
3)WAS:
修改websphere相应配置,将com.ibm.ws.webcontainer.disabledxPoweredBy配置更改为true。
十、"Server"字段泄露服务器信息
漏洞描述
因Web服务器、应用服务器配置不安全,导致响应报文的响应头中"Server"字段泄露服务器信息,攻击者可以通过获取服务器版本信息,收集相关漏洞,进行特定的攻击。
修复建议
隐藏HTTP响应头中"Server"字段,在web.config添加以下配置:
以上就是笔者在实际项目测试过程中经常遇见的十类常见应用配置型漏洞描述及针对常见中间件的修复建议,希望能够帮助开发同事快速理解各类漏洞并找到对应的修复方式!
推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- 慧荣就 SSD 主控藏后门传言回应:绝无所提及之风险
- 王者荣耀如何充值?
- 3·15剑指数据隐私保护,数字经济时代还要“裸奔”多久?
- 如果XP关机变成经典模式该怎么变回来?
- 怎样利用架构廉价的追踪网络中的入侵者
- 利用sohu网站URL跳转漏洞欺骗邮箱密码
- 比特币勒索病毒如何防范?WannaCry病毒防范攻略大全
- 2020:网络安全防御从被动到主动的一年
- win10使用无线网络隔几分钟就系统卡死该如何解决?
- 教菜鸟如何手动修复引入表
- 磁盘被写保护怎么办 怎么去掉磁盘写保护
- QQ空间存储型XSS漏洞的组合利用(图解)
- 专栏
- Win10网络共享找不到其它电脑怎么办?
- 数十亿的工业物联网设备可能存在缺陷
- 安装好win8后可以做的一些优化有哪些?
- win8没有无线网络连接怎么设置?
- 网络插座如何接线 宽带插座连接方法【详细介绍】
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1迅雷云播“手机看片神器”使用教程(随时随地秒速离线云播放)
- 2微信公众号怎么年审? 微信公众号年审流程及所需材料介绍
- 3笔记本怎么实现合上盖子也能使用外接显示器?
- 4联通宽带怎么免费升级100M 联通宽带免费提至100M的五种方法
- 5Win10怎么设置网络按流量计费 Win10网络设置流量收费教程
- 6i7 6700主频是多少 i7-6700参数详解
- 7BT种子搜索哪个好?全球十大最受欢迎的BT种子搜索网站排行榜
- 8小米笔记本和华为笔记本哪个好 优势区别的对比评测
- 9Steam提示“需要在线进行更新,请确认您的网络连接正常”怎么办?
- 10苹果AirPods更换电池多少钱?苹果无线耳机airpods电池更换价格详情
常用系统
- 1深度技术Ghost Win8.1 x32位 特别纯净版2020年5月(免激活) ISO镜像高速下载
- 2新萝卜家园Ghost Win8.1 X64位 纯净版2022年6月(自动激活) ISO镜像高费下载
- 3深度技术Ghost Win8.1 x32位 特别纯净版2018年10(免激活) ISO镜像快速下载
- 4笔记本&台式机专用系统 Windows10 六一节 企业版 版本1903 2021年6月(64位) 提供下载
- 5笔记本系统Ghost Win8.1 (32位) 新春特别 极速纯净版2021年2月(免激活) ISO镜像高速下载
- 6新雨林木风 Windows10 x86 企业装机版2019年11月(32位) ISO镜像高速下载
- 7笔记本系统Ghost Win8.1 (X64) 元旦特别 全新纯净版2021年1月(永久激活) 提供下载
- 8深度技术 Windows 10 x86 企业版 电脑城装机版2019年12月(32位) ISO镜像免费下载
- 9雨林木风系统 Ghost XP SP3 装机版 YN2019.06 ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 (64位) 官方纯净版2018年5月(无需激活) ISO镜像免费下载