web漏洞修复

最新推荐文章于 2024-06-19 16:46:58 发布
最新推荐文章于 2024-06-19 16:46:58 发布
阅读量3.2k 收藏 7
点赞数 2
文章标签: 前端 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q764535104/article/details/130971586
版权

漏洞修复

1. TLS 1.0/1.1 已启用

漏洞信息:
TLS 1.0 不被认为是“强密码术”。

# nginx server块修改配置,将1.0,1.1改成1.2
ssl_protocols           TLSv1.2;

2. Cookie 具有缺失、不一致或矛盾属性

漏洞信息:
可能会导致cookie失效、被攻击、cookie与环境不兼容等

# nginx location块添加配置:
proxy_cookie_path / "/; httponly; secure; SameSite=Lax";

注:

  1. httponly:当 cookie 设置有 HttpOnly 标志时,它会命令浏览器该 cookie 只能由服务器访问,而不能由客户端脚本访问。
  2. secure:浏览器只会通过https发送cookie,保证加密性
  3. SameSite:限制第三方 Cookie
    3.1 Strict:完全禁止。
    3.2 Lax:禁止大部分,基本可以防止CSRF攻击
    3.3 None:关闭SameSite功能

3. 点击劫持:X-Frame-Options 报头缺失

漏洞信息:
诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制

# nginx server块添加配置:
add_header X-Frame-Options SAMEORIGIN;

注:

  1. DENY:表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。
  2. SAMEORIGIN:表示该页面可以在相同域名页面的frame中展示。
  3. ALLOW-FROM uri:表示该页面可以在指定来源的frame中展示。

4. 未实施 HTTP 严格传输安全 (HSTS)

漏洞信息:
Web 应用程序未实施 HTTP 严格传输安全 (HSTS),因为响应中缺少严格传输安全报头。

# nginx server块添加配置:
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

注:配置后,统一网站浏览器只要使用过https,下次http的请求就会强转成https,max-age为生效时长,且每次访问都会重新刷新。

5. 目标服务器启用了不安全HTTP方法

漏洞信息:
开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。
可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。

# nginx server块添加:(只允许get,head,post请求)
if ($request_method !~ ^(GET|HEAD|POST)$) {
    return 403;
}
风翼靓崽
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
cookie安全性问题
chenpeng0708的博客
04-14 735
cookie安全性问题
javaWeb安全验证漏洞修复总结
08-26
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意攻击者出于不良的目的对Web 服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web业务平台最容易遭受攻击。同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2020
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
Web应用安全测试-防护功能缺失
06-14 1289
Cookie属性问题、会话重用、会话失效时间过长等各种防护功能缺失漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
踩坑升级tomcat 8.5.6引起的IE cookie问题
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
01-11 536
项目场景: 最近产线上升级Tomcat 8.5.6,很多用到cookie的功能,在IE上不能正常工作,比如记住密码功能。 背景知识: 首先我们了解一下两个Cookie参数max-age和Expires。 Expires 设置cookie被删除的有效期限 Max-age 设置cookie将被删除的时间(秒) Internet Explorer不支持“max-age”,尽管其他浏览器都支持 Max-age 对比Expires,让我们深入一下: Expires参数是由Netscape出炉的coo
配置类安全问题学习小结
dayouzi的博客
09-06 6715
此文主要是针对扫描器常见的一些配置性漏洞的概述及如何修复的一些建议。
漏洞修复启用了不安全的TLS1.0、TLS1.1协议
LIARRR的博客
04-12 7133
表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议,注意此配置只能配置在http块或者 default_server中才能生效,且其他server块都会读取default_server中的配置。TLS 1.0和TLS1.1协议使用了脆弱的加密算法,存在重大安全漏洞,容易受到降级攻击的严重影响。启用对TLS 1.2或1.3的支持,并禁用对TLS 1.0和TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。
具有不安全、不正确或缺少SameSite属性Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
【中危】启用了不安全的TLS1.0、TLS1.1协议
天泽岁月
08-13 4万+
TLS1.0协议漏洞检测复现
安全修复Web——HTTP Strict-Transport-Security缺失
CN華少的博客
04-30 2760
安全修复Web——HTTP Strict-Transport-Security缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 ...
WEB开发安全漏洞修复方案 (2).pdf
07-14
文档名称为"WEB开发安全漏洞修复方案",其主要关注的是在互联网开发中常见的安全问题以及对应的修复策略。本文档的目的是提供一个详尽的安全漏洞清单,并为每个问题提出具体的解决方案,以保护Web应用程序免受攻击。...
Web漏洞检测及修复方案.doc
04-17
安全团队专业输出,包含认证和授权类、命令执行类、逻辑攻击类、注入攻击类、客户端攻击类、信息泄露类、其他等
ngnix 漏洞修复文档
03-03
Nginx 漏洞修复文档 Nginx 是一种流行的开源 web 服务器软件,但如果配置不当,可能会出现多种漏洞,影响网站的安全性。以下是 Nginx 漏洞修复文档的相关知识点: 1. X-Content-Type-Options 响应头缺失 X-...
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
backerli的博客
09-25 5077
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
Nginx漏洞修复具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造
最新发布
qq_43613949的博客
06-19 396
Nginx漏洞修复具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造@
cookie属性
blind
09-23 136
  Cookies最初设计时,是为了CGI编程。但是,我们也可以使用Javascript脚本来操纵cookies。在本文里,我们将演示如何使用 Javascript脚本来操纵cookies。(如果有需求,我可能会在以后的文章里介绍如何使用Perl进行cookie管理。但是如果实在等不得,那么我现在就教你一手:仔细看看CGI.pm。在这个CGI包里有一个cookie()函数,可以用它建立cookie...
AppScan安全扫描:加密会话(SSL)Cookie中缺少Secure、会话 cookie 中缺少 HttpOnly 属性
爱兰河少
01-30 4249
1、创建拦截器,对请求进行拦截处理Cookie问题 因为涉及到登录,因此需要添加登录URL白单信息:xml配置cookieHttpOnlyNoUrl或修改bdUris对应的默认值 因为图片、css样式、js无需做cookie处理,因此需添加后缀白单信息:xml配置noSuffixs或修改suffixList对应的默认值 package cn.com.zwjp.framework.filte...
Cookie 的 SameSite 属性
热门推荐
alone
10-09 5万+
今天在做前后端分离姓名的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www...
Java Web 技术内幕:深入理解 Session 与 Cookie
03-23 2256
转自:http://www.ibm.com/developerworks/cn/java/books/javaweb_xlb/10/index.html 简介: Session 与 Cookie 不管是对 Java Web 的初学者还是熟练使用者来说都是一个令人头疼的问题。在初入职场时恐怕很多程序员在面试的时候都被问到过这个问题。其实这个问题回答起来既简单又复杂,简单是因为它们本身只是 HT
web漏洞教程 csdn
01-17
Web漏洞教程是指通过CSDN(中国最大的IT社区)等平台上提供的教程,学习和分享有关Web应用程序的各种漏洞和安全问题的知识。 首先,Web漏洞是指网站或Web应用程序中存在的安全弱点,可能导致攻击者利用这些漏洞进一步入侵网站、窃取用户信息或者执行其他恶意行为。理解和学习Web漏洞的原理和方法非常重要,既可以帮助开发人员修复漏洞,还可以帮助安全专家检测和防止这些漏洞被攻击者利用。 CSDN等平台上提供的Web漏洞教程包括但不限于以下几个方面: 1. 常见Web漏洞类型的介绍,如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、SQL注入、文件包含漏洞等。通过学习这些漏洞类型,可以帮助开发者和安全专家了解这些漏洞的工作原理和危害程度。 2. Web漏洞的检测方法和工具的介绍。学习使用各种漏洞扫描工具和漏洞验证工具,可以帮助安全专家发现和验证Web应用程序中的漏洞。 3. Web漏洞修复和防御的方法和策略。包括代码安全编码规范、安全配置、输入验证、输出过滤等措施,可以帮助开发人员修复和防止Web漏洞的出现。 通过学习Web漏洞教程,可以提高我们对Web安全的认识和意识,了解攻击者可能利用的漏洞和攻击方法,从而更好地保护自己的Web应用程序和用户数据的安全。在网络安全领域中,学习与分享是非常重要的一部分,因为只有与攻击者保持同步的知识和技术才能有效地保护我们的网络和数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值