记录一下Security扫描的问题

  1. Session Fixation
    SessionID 需要登陆后更新。
  2. Cookie Security: Cookie not Sent Over SSL
    Cookie 需要Secure标志。
  3. Cookie Security: Persistent Cookie
    Cookie 不能有expires,否则Cookie会被浏览器存储在磁盘上。
  4. Cache Management: Session Cookies
    添加cache-control:no-cache到HTTP响应头。否则代理会缓存cookie。
  5. Cookie Security: Overly Broad Session Cookie Domain
    去掉Cookie的domain设置,尤其不能设置成.xxx.com
  6. Cookie Security: HTTPOnly not Set
    Cookie 需要HTTPOnly标志。
  7. Web Server Misconfiguration: Server Error Message
    不能返回HTTP 404,500 等,均需要返回200,然后显示通用的错误页面
  8. Privacy Violation: Autocomplete
    尽管大多现代浏览器已经不支持Autocomplete,表单form最好还是需要添加autocomplete=false
  9. Cache Management: Insecure Policy
    添加cache-control:no-cache到HTTP响应头。
  10. Insecure Transport: HSTS not Set
    添加Strict-Transport-Security:max-age=31536000 到HTTP响应头。表示浏览器在1年之内所有HTTP请求均自动转换为HTTPS请求。
  11. 更新到最新的第三方库。
  12. CSRF,需要添加token
  13. 硬编码密码,使用管理员账号,没用的文件都需要删掉。
  14. Insecure Randomness. RSA 算法需要伪随机数生成器。暂时忽略这个。
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值