WEB安全防御总结 : 列举漏洞及修复建议

最新推荐文章于 2023-06-06 09:59:31 发布
最新推荐文章于 2023-06-06 09:59:31 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: 安全防御 文章标签: WEB安全防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiongxian1/article/details/100665919
版权

一. 不安全的第三方链接

漏洞简介:

在新打开的页面中可以通过 window.opener获取到源页面的部分控制权,即使新打开的页面是跨域的也照样可以

修复建议:

在a标签中加入rel="noopener noreferrer"属性

处理方式:

二. 纵向越权

漏洞简介:

对需要认证的web应用程序,直接使用不登陆鉴权的方式进行探测,检查是否能够正常访问,可能会升级用户特权并通过 Web 应用程序获取高级权限。

修复建议:

限制访问权限

处理方式:

三. 内容安全策略

漏洞简介:

可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。

修复建议:

Content-Security-Policy是为了页面内容安全而制定的一系列防护策略,通过在响应头中配置Content-Security-Policy头以及相应的策略,可指定可信的内容来源,排除各种跨站点注入,包括跨站点脚本编制等:

  1. 响应头中配置Content-Security-Policy;
  2. 配置3个属性:frame-ancestors,default-src,以及script-src或object-src中的一个;
  3. default-src、script-src或者object-src的属性值不能配置'*'、data:、'unsafe-inline'、'unsafe-eval';
  4. frame-ancestors的属性值不能配置data:。

处理方式:

在.htaccess文件中加入如下代码,具体的js、css站点域名需自行配置

<IfModule mod_headers.c>

Header set Content-Security-Policy: "style-src 'self' 'unsafe-inline' cdn.bootcss.com netdna.bootstrapcdn.com;script-src 'self' 'unsafe-inline' 'unsafe-eval' cdn.bootcss.com cdn.bootcdn.net;"

</IfModule>

四. 跨站脚本包含

漏洞简介:

页面中包含跨域脚本,攻击者可通过恶意JS绕过边界窃取信息。

修复建议:

不要把敏感数据放在JavaScript文件中,也不要放在JSONP中。

处理方式:

五. 反射型XSS

漏洞简介:

攻击者可以向网站注入任意的JS代码,来控制其他用户浏览器的行为,从而偷取用户的cookie或者执行任意操作,进而形成XSS蠕虫来对服务器造成巨大压力甚至崩溃。

修复建议:

  1. 进行HTTP响应头加固,启用浏览器的XSS filter;
  2. 2.Cookie设置HttpOnly,防止XSS偷取Cookie;
  3. 3.对用户输入参数使用ESAPI进行编码; 
  4. 4.根据业务逻辑限定参数的范围和类型,进行白名单判断制访问权限。

处理方式:

六. Cookie 检测

漏洞简介:

修复建议:

  1. 检测 HTTP Set-Cookie 字段(Http协议的情况下)。
  2. 每一条字段值包含 HttpOnly。

处理方式:

七. 不安全方法

漏洞简介:

攻击者可以使用OPTIONS和Trace等方法来枚举服务器相关信息。

修复建议:

  1. 在服务器配置中禁止非常用的HTTP方法;
  2. 代码中只支持常见HTTP方法。

处理方式:

八. 传输层保护不足

漏洞简介:

诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息。

修复建议:

确保敏感信息,一律以加密方式传给服务器

处理方式:

九. 记住密码:

漏洞简介:

诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息。

修复建议:

  1. 显式设置password输入框的属性autocomplete="off";
  2. 增加一些混淆浏览器的输入框,控制 Input 的数量为单数;
  3. 先设置 Input的type为text,然后延迟0.2秒后将其变成密码域。

处理方式:

十. 响应头漏洞

漏洞简介:

可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。。

修复建议:

  1. 响应头中存在 X-Content-Type-Options 属性,而且 X-Content-Type-Options 属性值包含“nosniff”。
  2.  检测 HTTP X-Frame-Options 字段,字段值包含 deny 或 sameorigin。
  3.  配置响应头“X-XSS-Protection”,且将值设为 1;mode=block ;不要重复多次配置“X-XSS-Protection”响应头。

处理方式:

十一. 使用 HTTP 动词篡改的认证旁路

漏洞简介:

可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。。

修复建议:

  1. 如果使用基于 HTTP 方法的访问控制,配置 web 服务器以仅允许所需 HTTP 方法。
    确保配置的确限制未列出的方法:
    在 Apache .htaccess 文件中:避免使用有问题的“LIMIT”伪指令。使用“LimitExcept”伪指令。
    在 JAVA EE 中,避免在访问控制策略中使用 <http-method> 元素。
    在 ASP.NET 授权中,在允许所需动词的白名单之后,使用 <deny verbs="*" users="*" />。

处理方式:

Apache - 虚拟主机配置文件vhosts.conf(不同软件的文件名不一定相同)中对应虚拟主机开启403重定向,主要使用LimitExcept进行限制,如:

<VirtualHost *:80>
***
    <Directory "/data/project/htdocs">
		Options FollowSymLinks MultiViews
		AllowOverride ALL
		Order allow,deny 
		allow from all
		Require all granted
		<LimitExcept GET POST>  
			#禁止除GET POST以外的请求 
			AllowOverride All
			deny from all
		</LimitExcept>
    </Directory>
	ErrorDocument 403 /error/error404.php
</VirtualHost>

追逐吾之所求
关注
专栏目录
服务端开发技术原理、方法与实用解决方案:安全防护漏洞修复原理与代码实战
AI天才研究院
10-04 715
服务端开发是指在服务器端进行应用程序的开发,主要负责接收客户端请求,处理业务逻辑,并将响应返回给客户端。服务端技术广泛应用于Web开发、移动应用、游戏开发等领域。随着互联网的快速发展,服务端安全问题越来越受到重视。服务端的漏洞安全问题可能会导致用户数据泄露、系统崩溃、服务拒绝服务等严重后果。因此,服务端开发人员需要深入了解安全知识,并采取有效的安全措施来保护自己的系统免受攻击。
常见的Web应用的漏洞总结(原理、危害、防御
anlalu233的博客
02-21 2696
一、 SQL注入 1.原理: SQL注入就是把SQL命令插入到Web表单然后提交到所在页面请求(查询字符串),从而达到欺骗服务器执行恶意的SQL命令。 它是利用现在已有的应用程序,将SQL语句插入到数据库中执行,执行一些并非按照设计者意图的SQL语句。 2.原因: 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入...
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
最新发布
liuqinhou的博客
06-06 1918
1.什么是HttpOnly?如果您在cookie中设置了HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie
使用 HTTP 动词篡改的认证旁路 (Http Verb Tempering: Bypassing Web Authentication and Authorization)
热爱生活~热爱工作~热爱每一天~
12-11 5069
Http Verb Tempering: Bypassing Web Authentication and Authorization(使用 HTTP 动词篡改的认证旁路 什么是HTTP动词(HTTP VERB)? 超文本传输协议(HTTP)提供了可以用于在web服务器上执行操作的方法列表。 这些方法中的许多都旨在帮助开发人员在开发或调试阶段部署和测试HTTP应用程序。 如果web服务器配置不当,这些HTTP方法可能被用于恶意目的。 此外,还将检查一些高脆弱性,如跨站点跟踪(XST),这是一种使用
利用HTTP-only Cookie缓解XSS
think_ycx的专栏
08-15 1059
原文地址 一、XSS与HTTP-only Cookie简介 跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性。
XSS攻击防范
weixin_55684314的博客
05-30 340
危害: 盗取用户信息 网页挂马,进行恶意操作 制造蠕虫 劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、发送电子邮件等 强制弹出广告页面等 网络钓鱼等 防范: 一般的浏览器都内置了防范XSS的方法,例如CSP(Content Security Policy,内容安全策略)可防范简单XSS攻击。但对于完全防范来说,还需要更高级的方案。 httponly HttpOnly是防止cookies被劫持的最常用方法之一。cookie只能通过HTTP协议读取(HTTPS也可以)。cookie
网络安全-使用HTTP动词篡改的认证旁路
qq_42723240的博客
07-30 2538
分析AppScan扫描报告的时候,发现报告里提示“HTTP动词篡改导致的认证旁路”,于是在网上搜索资料,查到一个不错的博客:http://www.jackieathome.net/archives/363.html] 很详细的说过了生成原因,这里讲述的是针对tomcat7的,因为高版本的tomcat已经意识到了,并修复了。 网上有一种方案是配置tomcat的web.xml,禁用http...
FCKeditor漏洞详析:全面总结修复策略
FCKeditor漏洞总结是一篇详尽的文章...这篇FCKeditor漏洞总结详细列举了该编辑器在过去版本中的安全问题,并提供了相应的防范建议,对于FCKeditor的使用者和开发者来说,了解和修复这些漏洞是保障网站安全的重要步骤。
游戏安全漏洞挖掘:常见漏洞利用与修复
游戏安全漏洞是指在游戏程序的设计、开发或实施过程中存在的可导致安全风险的缺陷或漏洞。这些漏洞可能会被黑客或攻击者利用,从而影响游戏的正常运行,甚至导致用户账号信息泄露、游戏服务器被入侵等严重后果。 ##...
WEB安全测试基础:威胁模型与漏洞排查
"该文档是针对WEB安全性测试的基础教程,旨在帮助测试新手了解和执行安全测试。文档涵盖了关键的安全测试领域,包括威胁建模、溢出漏洞、信息泄漏、错误处理、SQL注入、身份验证和授权错误等。此外,还详细列举了...
安全测试
jffhy2017的博客
01-16 2449
测试类型:应用程序级别测试,基础结构测试 威胁分类:信息泄露,认证不充分,操作系统命令,sql注入,可预测资源位置,跨站点请求伪造,传输层保护不足,会话定置 1.sql盲注; 风险:可能会查看、修改或删除数据库条目和表; 原因:未对用户输入正确执行危险字符清理;应用程序易收到攻击; 威胁分类:sql盲注 测试类型:应用程序级别测试 2.使用sql注入的认证旁路 风险
Cookie设置HttpOnly属性,防止前端脚本更改cookieXSS攻击
Sunyc1992的博客
11-02 8522
Tomcat版本为6.0.39,JDK版本为1.6update45 在Web工程上增加一个FilterCookie进行处理 public class CookieFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response,
apache 服务器禁止http方法 解决appscan 使用 HTTP 动词篡改的认证旁路漏洞
热门推荐
隐0士的博客
07-29 1万+
第一种办法:在/opt/IBM/HTTPServer/conf 下的httpd.conf也就是apache的配置文件.加上如下代码       Order Allow,Deny    Deny from all      LimitExcept 后面写的是允许经过的http方法,我这边是was8.5默认的put和delete、trace方法是禁止的,head方法
Spring中使用拦截器配置HttpOnly,来提升WEB应用程序的安全
Iqingshuifurong的博客
10-28 4292
最近安全检测,出现浏览器漏洞HttpOnly. 简单介绍两种解决方案,及 相关知识 1)Xss攻击预防-Spring中使用拦截器配置HttpOnly 2)Xss攻击预防-tomcat配置文件中添加httponly属性 3)HTTP-only Cookie缓解XSS简介 4)SpringMVC-处理器拦截器(HandlerInterceptor)详解 一、Xss攻击预防,Spring中使...
httpOnly实现防止XSS时避免JavaScript读取cookie
weixin_34128839的博客
11-16 1771
如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。 实现方式: PHP中的设置 1.在php.ini中 session.cookie_httponly=true 2.在程序中全局设定: <?php ini_set("ses...
Cookie中的httponly的属性和作用
weixin_30235225的博客
08-21 302
1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie安全性,即便是这样,也不要将重要信息存入cookieXSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞XSS属于被动式且用于客户端的攻击方式,所以容易被忽...
cookie设置httponly属性防护XSS***
weixin_33763244的博客
01-04 1020
***者利用XSS漏洞获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,***这里用获取的COOKIE登陆账号,并进行非法操作。COOKIE设置httponly属性可以化解XSS漏洞***带来的窃取cookie的危害。PHP中COOKIE设置方法:<?phpsetcookie("xsstest", "xsstest", ...
第三方的css并不安全
weixin_34342992的博客
09-21 117
翻译一篇文章 标题,第三方的css并不安全 文章源地址 jakearchibald.com/2018/third-… 前几天,有很多关于css的键盘记录器的相关的消息。 css 键盘记录器 github.com/maxchehab/C… 很多人要求浏览器进行修复,也有些人发现影响了类似React框架的内构建的网站。 第三方图像 <img src = “https://example...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值