web安全测试之appscan – “X-Content-Type-Options”头缺失或不安全

最新推荐文章于 2023-07-12 17:28:15 发布
最新推荐文章于 2023-07-12 17:28:15 发布
阅读量6.5k 收藏
点赞数
文章标签: 安全 web安全
原文链接:https://www.yuanmadesign.com/ymdesign/appscan-web-test2
版权

web安全测试之appscan - “X-Content-Type-Options”头缺失或不安全 - 猿码设计师web 安全测试 appscan; 通过设置"X-Content-Type-Options: nosniff"响应标头,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。https://www.yuanmadesign.com/ymdesign/appscan-web-test2

Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。

在web安全测试中,今天我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。

风险:可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。

技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。运行潜在的脚本文件,会存在丢失数据的风险。

简单理解为:通过设置”X-Content-Type-Options: nosniff”响应标头,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。

X-Content-Type-Options: nosniff

如果响应中接收到 “nosniff” 指令,则浏览器不会加载“script”文件,除非 MIME 类型匹配以下值之一:

  • “application/ecmascript”
  • “application/javascript”
  • “application/x-javascript”
  • “text/ecmascript”
  • “text/javascript”
  • “text/jscript”
  • “text/x-javascript”
  • “text/vbs”
  • “text/vbscript”

» 转载保留版权:猿码设计师 » 《web安全测试之appscan – “X-Content-Type-Options”头缺失或不安全》

» 本文链接地址:web安全测试之appscan - “X-Content-Type-Options”头缺失或不安全 - 猿码设计师

» 如果喜欢可以:关注《猿码设计师》公众号

Hjupan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
检测到目标X-Content-Type-Options响应缺失
lxyoucan的博客
07-15 4920
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应缺失使得目标URL更易遭受跨站脚本攻击。
【已解决】“X-Content-Type-Options缺失或不安全
ZL_1618的博客
02-19 3756
是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在中,今天我们说下扫描结果中包含X-Content-Type-Options请求header缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。
安全修复之Web——HTTP X-Content-Type-Options缺失
CN華少的博客
05-01 3511
安全修复之Web——HTTP X-Content-Type-Options缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:...
IBM AppScan 安全扫描:Missing Content-Security-Policy ;X-Content-Type-Options ;X-XSS-Protection响应
热门推荐
崔向阳@李晓的博客
12-06 2万+
一问题:IBM AppScan 安全扫描提示: 二问题解决: 1. X-XSS-Protection 目的 这个header主要是用来防止浏览器中的反射性xss。现在,只有IE,chrome和safari(webkit)支持这个header。 正确的设置 0 关闭对浏览器的xss防护 1 开启xss防护 1; mode=block 开启...
网站低危漏洞通过伪静态功能处理方法
wwwwestcn的博客
07-12 189
-检测到目标X-Permitted-Cross-Domain-Policies响应缺失-->--检测到目标Strict-Transport-Security响应缺失-->--检测到目标Content-Security-Policy响应缺失-->--检测到目标X-Content-Type-Options响应缺失-->--检测到目标X-Download-Options响应缺失-->--检测到目标X-XSS-Protection响应缺失-->--点击劫持:X-Frame-Options未配置-->
HCL AppScan Standard v10.5.0 (Windows) - Web 应用程序安全测试
最新发布
05-08
市场领先的应用程序安全解决方案(SAST、DAST、IAST、SCA、API) HCL AppScan 市场领先的应用程序安全解决方案 HCL AppScan 为开发人员、DevOps 和安全团队提供了一套技术来查明应用程序漏洞,以便在软件开发生命...
安全测试漏扫工具-HCL AppScan-10.5.0(28368)-2024年4月-下载
04-12
能够轻松地将完整的测试列表(不包括变体)从测试策略导出到 CSV 文件,无论测试是否启用。 问题视图中的高级搜索:通过在请求/响应或问题表中搜索特定字符串,轻松浏览数据。 添加了新的测试策略: OWASP 十大 ...
安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196
10-15
优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。
安全测试appscan操作手册-手动探索完全扫描的区别.pdf
07-14
IBM AppScan是一款广泛使用的自动化安全测试工具,它能够检测出Web应用程序中的潜在安全漏洞。本手册主要探讨了AppScan中手动探索和全面自动扫描的区别,以及如何操作这两种扫描模式。 首先,安装AppScan软件是开始...
appscan-codesweep-action:将静态安全测试与HCL AppScan CodeSweep与Github集成
04-17
使用HCL AppScan CodeSweeep Github Action可以阻止不安全的代码到达您的存储库。 当添加到新的或现有的Github工作流中时,此操作将对所有已修改和已添加的代码行进行安全扫描。 易受攻击的代码行带有信息注释,以...
weblogic9.x配置部署
09-05
weblogic9.x配置部署
漏洞扫描,解决缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”问题
hsc的博客
07-22 6721
缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”解决方法 用AppScan扫描网站,高危问题:缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”解决方式 解决方法 将下面内容添加到nginx.conf 文件http 结构下 # security headers add_header X-Frame-Options
【绿盟】检测到目标Strict-Transport-Security响应缺失
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测到目标URL存在客户端(JavaScript)Cookie引用 检测到目标Strict-Transport-Security响应缺失 检测到目标Referrer-Policy响应缺失 检测到目标X-Permitted-Cross-Domain-Policies响应缺失 检测到目标X-Download-Options响应缺失 点击劫持:X-Frame-Options未配置 ..
Nginx配置安全策略总结
智慧,不是知识、不是经验、不是思辩,而是超越自我中心的态度。
09-27 4442
基于AppScan安全扫描工具检测出来的服务器安全隐患,通过nginx负载的配置总结。
你的网站安全吗?ZAP应用实例
科华在线
06-23 1061
按照清华大学出版社出版的新书《软件测试实战教程》第8章安全性测试,测试了一个Web应用,发现了5种问题。如图所示: 对每一种问题进行了分析,并提出了解决方案。解决问题后,再用ZAP扫描,已经没有这些问题了。 X-Frame-Options Header Not Set X-Frame-Options HTTP 响应未设置 说明:HTTP响应中不包含X-Frame-Options,以...
X-Content-Type-Options和 X-XSS-Protection
weixin_30768175的博客
03-22 475
X-Content-Type-Options 互联网上的资源有各种类型,通常浏览器会根据响应Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并...
appscan “Content-Security-Policy”缺失或不安全
12-12
根据引用[1]和引用,我们可以得知在web安全测试中,如果扫描结果中包含Content-Security-Policy请求header缺失或不安全,那么我们需要采取以下措施: 1.了解Content-Security-Policy(CSP)的作用和原理,以及如何正确地配置CSP。 2.在服务器端配置CSP,以确保所有的资源都遵循CSP的规则。 3.在应用程序中使用CSP,以确保所有的资源都遵循CSP的规则。 4.使用CSP的报告功能,及时发现和修复CSP的问题。 下面是一些示例代码,演示如何在应用程序中使用CSP: ```html <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>Example</title> <meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';"> </head> <body> <h1>Hello, World!</h1> <img src="https://example.com/image.png"> <script src="https://example.com/script.js"></script> </body> </html> ``` 上面的代码中,我们使用了Content-Security-Policy,指定了默认源为'self',图片源为'https://',子源为'none',这样就可以防止跨站脚本攻击和其他安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值