记录一下Security扫描的问题

最新推荐文章于 2024-01-17 10:56:47 发布
最新推荐文章于 2024-01-17 10:56:47 发布
阅读量3.5k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxg117/article/details/81236190
版权
  1. Session Fixation
    SessionID 需要登陆后更新。
  2. Cookie Security: Cookie not Sent Over SSL
    Cookie 需要Secure标志。
  3. Cookie Security: Persistent Cookie
    Cookie 不能有expires,否则Cookie会被浏览器存储在磁盘上。
  4. Cache Management: Session Cookies
    添加cache-control:no-cache到HTTP响应头。否则代理会缓存cookie。
  5. Cookie Security: Overly Broad Session Cookie Domain
    去掉Cookie的domain设置,尤其不能设置成.xxx.com
  6. Cookie Security: HTTPOnly not Set
    Cookie 需要HTTPOnly标志。
  7. Web Server Misconfiguration: Server Error Message
    不能返回HTTP 404,500 等,均需要返回200,然后显示通用的错误页面
  8. Privacy Violation: Autocomplete
    尽管大多现代浏览器已经不支持Autocomplete,表单form最好还是需要添加autocomplete=false
  9. Cache Management: Insecure Policy
    添加cache-control:no-cache到HTTP响应头。
  10. Insecure Transport: HSTS not Set
    添加Strict-Transport-Security:max-age=31536000 到HTTP响应头。表示浏览器在1年之内所有HTTP请求均自动转换为HTTPS请求。
  11. 更新到最新的第三方库。
  12. CSRF,需要添加token
  13. 硬编码密码,使用管理员账号,没用的文件都需要删掉。
  14. Insecure Randomness. RSA 算法需要伪随机数生成器。暂时忽略这个。
Andy__Han
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
漏洞修复:Cache Management: Insecure Policy
CutelittleBo的博客
01-28 1283
描述 WebInspect has detected a potentially unsafe cache control policy for secure content. While content transmitted over an SSL/TLS channel is expected to guarantee confidentiality, administrators must ensure that caching of sensitive content is disabled un
[20][03][24] Cookie Security: Persistent Cookie
安全新司机
12-30 1185
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 在长期有效的 cookie 中存储敏感数据, 可能会导致机密性被破坏或帐户受到损害 2. 问题场景 大多数 Web 编程默认创建非持久 cookie, 这些 cookie 只驻留在浏览器内存中 (cookie 不会写入磁盘), 并在浏览器关闭时丢失,程序员可以指定 cookie 在浏览器会话之间被持久化, 直到某个未来的日期, 这样的 cookie 被写入磁盘, 并在浏览器会话和计算机重启时保存下来 如果私人信息被存储在长期有效的 cook
[20][03][23] Cookie Security: Over Broad Path
安全新司机
12-30 1665
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 cookie 设置过宽的有效路径, 可以通过同一域名中的其他应用程序访问 2. 问题场景 开发人员经常将 cookie 设置有效路径为 "/" 可以访问, 这将向域名上上的所有 web 应用程序开放 cookie, 由于 cookie 通常携带会话标识符等敏感信息, 跨应用程序共享 cookie 可能导致一个应用程序的漏洞, 从而危及另一个应用程序 Cookie cookie = new Cookie("token", token); co
漏洞修复:Insecure Transport: HSTS not Set
CutelittleBo的博客
01-28 1810
描述 Http Strict Transport Security (HSTS) policy enables web applications to enforce web browsers to restrict communication with the server over an encrypted SSL/TLS connection for a set period. Policy is declared via special Strict Transport Security respo
fortify源代码扫描问题分析汇总
Websec
07-21 1万+
编号 漏洞名称 漏洞危害 修复建议 1 Dynamic Code Evaluation: Unsafe Deserialization 动态代码评估:不安全的反序列化 Actuator正是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在使用...
开发安全之:Cookie Security: Cookie not Sent Over SSL
最新发布
irizhao的专栏
01-17 736
.. 如果应用程序同时使用 HTTPS 和 HTTP,但没有设置 Secure 标记,那么在 HTTPS 请求过程中发送的 cookie 也会在随后的 HTTP 请求过程中被发送。
Security:安全项目
05-02
9. **供应链安全**:确保依赖的第三方库和组件没有已知的安全问题,使用工具如Snyk、OWASP Dependency Check来检查和管理这些风险。 10. **应急响应计划**:预先规划如何处理安全事件,包括报告、隔离、修复和后期...
securitycenter-cli:用于从Tenable Network Security Nessus SecurityCenter实例中检索批处理数据插入的命令行界面以及随附的Go库
05-18
内置也是一个交互式菜单,可用于导出和导入记录(资产,用户,组,扫描结果)。 此菜单(主要是整个命令行应用程序)是根据西弗吉尼亚大学信息安全服务的要求或要求而构建的。 此项目是由该目录的LICENSE文件中的...
Bank Locker.rar_Bank Security_Biometric_attendance_security
07-14
银行员工每次进入敏感区域时都需要通过指纹识别设备,这样可以追踪并记录员工的进出时间,进一步增强了对员工活动的监控。 面部识别技术也逐渐被用于银行安全领域,尤其在无人值守的自助服务设备上。通过摄像头捕捉...
websecurity - Web Security Testing Framework 超级牛B扫描
12-07
Web Security Testing Framework(WSTF)是一个专门针对Web应用程序安全性的强大扫描工具,被誉为"超级牛B扫描器"。在当前数字化的时代,Web应用程序的安全性是至关重要的,因为它们经常成为黑客攻击的目标。WSTF...
security-test-suite-master等工具
05-16
通过阅读这个文件,用户可以了解各个版本之间的区别,以及最新的更新带来了哪些新功能或修复了哪些问题。 2. **libeay32.dll** 和 **ssleay32.dll**:这两个文件是OpenSSL库的动态链接库文件,用于加密和安全通信。...
[20][03][20] Cookie Security: Cookie Not Sent Over SSL
安全新司机
12-23 2011
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 所创建的 cookie 的 secure 标记没有设置为 true Web 浏览器支持每个 cookie 的 secure 标记. 如果设置了该标记,那么浏览器只会通过 HTTPS 发送 cookie. 通过未加密的通道发送 cookie 将使其受到网络截取攻击,因此安全标记有助于保护 cookie 值的保密性. 如果 cookie 包含私人数据或带有会话标识符,那么该标记尤其重要 2. 问题场景 在下面的示例中,在未设置 secure 标
漏洞修复:Cookie Security: Cookie not Sent Over SSL
CutelittleBo的博客
01-28 5238
描述 This policy states that any area of the website or web application that contains sensitive information or access to privileged functionality such as remote site administration requires that all cookies are sent via SSL during an SSL session. The URL: ht
Fortify漏洞修复总结
weixin_30677475的博客
09-21 3669
1.代码注入 1.1 命令注入 命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,导致程序执行恶意命令的一种攻击方式。 问题代码: $dir = $_POST['dir'] exec("cmd.exe /c dir" + $dir); 修复方案:(1)程序对非受信的用户输入数据进行净化,删...
[20][03][21] Cookie Security: HttpOnly not Sent
安全新司机
12-30 1254
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 程序创建 cookie 时没有将 HttpOnly 设置为 true 2. 问题场景 所有主流浏览器都支持 cookie 的 HttpOnly 属性,该属性阻止客户端脚本访问 cookie,跨站点脚本攻击通常会访问 cookie,试图窃取 cookie 或 session,没有启用 HttpOnly 攻击者更容易访问用户 cookie 3. 修复方案 在代码中设置 cookie 的 HttpOnly 属性为 true Cookie cook
漏洞修复:Cookie Security: HTTPOnly not Set on Application Cookie
CutelittleBo的博客
01-28 3908
描述 The web application does not utilize HTTP only cookies. This is a new security feature introduced by Microsoft in IE 6 SP1 to mitigate the possibility of a successful Cross-Site scripting attack by not allowing cookies with the HTTP only attribute to be
[20][03][22] Cookie Security: Over Broad Domain
安全新司机
12-24 766
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 cookie 设置过宽的域名,将导致被其他应用程序攻击 2. 问题场景 开发人员经常将 cookie 设置在基础域名内使用 (例如: example.com),这将向基础域名和子域名上的所有 web 应用程序公开 cookie,由于 cookie 通常携带会话标识符等敏感信息,跨应用程序共享 cookie 可能导致一个应用程序的漏洞,从而危及另一个应用程序 样例 1 假设您在http://secure.example.com 上部署了一个
Fortify扫描漏洞解决方案
热门推荐
一杯咖啡的渗透记忆
03-23 1万+
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。 2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要...
WAP
[木子]的专栏
06-08 1987
什么是WAP? WAP是WIRELESS APPLICATION PROTOCAL(无线应用协议)的简称,它是开发移动网络上类似互联网应用的一系列规范的组合。WAP协议与现有通信的互联网协议类似,但专为小屏幕、窄带的用户装置(如移动电话)优化。 WAP协议是公开的、全球性的
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值