漏洞修复---Session Cookie Does Not Contain the “Secure“ Attribute和HTTP Security Header Not Detected

最新推荐文章于 2024-03-17 06:23:46 发布
最新推荐文章于 2024-03-17 06:23:46 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: Linux 文章标签: http 前端 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29974229/article/details/127614444
版权

1. 漏洞

Qualys扫描出来2个漏洞要修复
漏洞1:

Session Cookie Does Not Contain the "Secure" Attribute
...略
SOLUTION:
Apply the "secure" attribute to session cookies to ensure that they are sent via HTTPS only. More information about this flag can be
found here: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie.

漏洞2:

HTTP Security Header Not Detected
...略
SOLUTION:
Note: To better debug the results of this QID, it is requested that customers execute commands to simulate the following functionality: curl -lkL --
verbose.
CWE-693: Protection Mechanism Failure mentions the following - The product does not use or incorrectly uses a protection mechanism that
provides sufficient defense against directed attacks against the product. A "missing" protection mechanism occurs when the application does not
define any mechanism against a certain class of attack. An "insufficient" protection mechanism might provide some defenses - for example, against
the most common attacks - but it does not protect against everything that is intended. Finally, an "ignored" mechanism occurs when a mechanism is
available and in active use within the product, but the developer has not applied it in some code path.
Customers are advised to set proper X-Content-Type-Options (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-
Options) and Strict-Transport-Security (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security) HTTP response
headers.
Depending on their server software, customers can set directives in their site configuration or Web.config files. Few examples are:
X-Content-Type-Options:
Apache: Header always set X-Content-Type-Options: nosniff
HTTP Strict-Transport-Security:
Apache: Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Nginx: add_header Strict-Transport-Security max-age=31536000;
Note: Network devices that include a HTTP/HTTPS console for administrative/management purposes often do not include all/some of the security
headers. This is a known issue and it is recommend to contact the vendor for a solution

2. 修复方法

nginx.conf加入以下配置
注意,如果没有/ 一定要加一段/的location

server {
        add_header X-Content-Type-Options nosniff;
        add_header Strict-Transport-Security max-age=31536000;
        add_header Set-Cookie "/; Secure; HttpOnly; SameSite=None";
location / {
		proxy_store off;
		proxy_redirect  off;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header Host $http_host;
		client_max_body_size    1000m;
		proxy_connect_timeout 600;
		proxy_send_timeout 600;
		proxy_read_timeout 600;
		add_header  Nginx-Cache "$upstream_cache_status";
		add_header Set-Cookie "HttpOnly";
		add_header Set-Cookie "Secure";
		add_header X-Content-Type-Options nosniff;
		add_header Strict-Transport-Security max-age=31536000;
		add_header Set-Cookie "/; Secure; HttpOnly; SameSite=None";  
	}
}

由于公司Qualys每次都有费用发生,以上配置可能有没用的配置夹杂在内.但这样的配置肯定是能修复这2个漏洞
各位如果可以多次扫描可以尝试下去掉以下三行以外的配置看是否可以.如果有最精简的结果记得给我留言,谢谢

		add_header X-Content-Type-Options nosniff;
		add_header Strict-Transport-Security max-age=31536000;
		add_header Set-Cookie "/; Secure; HttpOnly; SameSite=None";
【grafana 】mac端grafana配置的文件 grafana.ini 及login
突围
08-04 591
grafana.ini
IBM WebSeal实例配置文件webseald-实例名.conf
快跑专栏
05-13 1万+
## FILENAME# webseald.conf## DESCRIPTION# Configuration file for the Access Manager WebSEAL server (webseald)#[server]################################ WEBSEAL GENERAL###############################
HTTP Security Header Not Detected未检测到HTTP安全标头
05-18 1397
遇到此安全问题,只需修改Web.config文件。 如: 未处理之前配置代码如下: <httpProtocol> <customHeaders> <add name="X-UA-Compatible" value="IE=Edge" /> </custom...
会话Cookie未设置Secure属性漏洞
my的博客
01-15 6176
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie中设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
HTTP Security Header Not Detected
enjoy.day
09-02 496
nginx: Add the following to your nginx.conf add_header X-Frame-Options SAMEORIGIN; add_header X-XSS-Protection "1; mode=block"; add_header X-Content-Type-Options nosniff; 来源网址
JAVA年度安全 第三周 SESSION COOKIE SECURE 标识
New World
07-26 2520
http://www.jtmelton.com/2012/01/17/year-of-security-for-java-week-3-session-cookie-secure-flag/  What is it and why do I care ? Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.
ASP.NET网站:Cookie中缺少Secure属性
susan的博客
01-16 4358
ASP.NET的Web.config中进行如下配置: <?xml version="1.0" encoding="UTF-8"?> <system.web> <configuration> <httpCookies httpOnlyCookies="true" requireSSL="true" />...
被忽略的Cookie的属性Secure
Cobra
11-14 839
最近做一个SSO系统,准备采用Cookie取代Session。以前在做PHP项目中使用过Cookie的domain属性,当时为了让不同的二级域名使用相同的cookie,就把cookie的domain属性设置为“.xxx.com"。      不过现在这个系统使用的是Java作为后台,以前只设置domain的方法可以IE上支持,但是到了FireFox总是不能工作,尝试很多次都不可以。突然想到曾经在邱...
使用SQLMonitor监视访问ORACLE的“服务”
tanwen1234的专栏
04-19 1万+
  以前使用SQLMonitor抓捕“应用程序”访问ORACLE的SQL语句,用起来比较爽……这次遇到的应用是以WINDOWS服务的方式来运行的,尝试了一下SQLMonitor的监视服务功能,报错:error 2 installing monitor for the service process  到网上搜索解决方法,提到SQLMonitor缺少“unidbsrv.dll”文件。我用的是SQLMoniter2.4.3.6,到网上下载了个以前版本的DLL文件,尝试 依然报错:error 193 instal
System Error Codes/系统错误代码
weixin_30666401的博客
08-10 4741
在windows上程序或脚本运行突然出现未知错误,没有错误信息只有一个code,怎样知道究竟是怎么回事呢?如果知道这个code的意思是多么重要的.这时错误代码(System Error Codes)可以帮上你的忙。 从MSDN 上找到关于如下信息(http://msdn.microsoft.com/en-us/library/ms681381.aspx),页面的build dat...
Puppeteer开发过程中遇到的问题及解决方案
m0_54849806的博客
02-21 7589
工欲善其事必先利其器,请先检查本机是否安装NodeJS环境以及查阅API: Google官方文档:https://developers.google.com/web/tools/puppeteer API(v12.0.1)文档:https://pptr.dev/#?product=Puppeteer&version=v12.0.1&show=outline 问题:如何处理各种验证码? 解决方案:建议大家去搜索对应的解决方案,Puppeteer并无此类解决方案。 问题:某些网站做了JS防爬检测
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应头缺失、加密算法等处理修复方法
最新发布
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 8453
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 头信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
检测到会话cookie中缺少HttpOnly属性
lxyoucan的博客
07-15 1928
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
nginx+tomcat服务器配置(秒杀安全扫描)
ERIZHU的博客
04-17 1616
nginx配置修改1.解决配置limit_conn_zone来限制并发连接数      在http处添加      limit_conn_zone $binary_remote_addr zone=perip:10m;      limit_conn_zone $server_name zone=perserver:10m;2.解决 Slow HTTP POST vulnerability(150...
【安全问题】加密会话(SSL)Cookie 中缺少 Secure 属性
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
浅谈HTTP CookieSecure HTTPONLY属性
一些好玩的东西
10-10 1万+
最近工作中遇到了关于cookiesecurehttponly属性的问题, 所以关注并学习了一段时间,这里做一下简要记录。关于securehttponly标志的用途可以参考wikipedia. Secure cookieA secure cookie has the secure attribute enabled and is only used via HTTPS, ensuring
PCI Scan Vulnerability Report 漏洞修复
03-08 1490
博主研究各种漏洞修复,各种修复漏洞技巧方法希望大家共同探讨学习。难解决的漏洞可以留言或私信。
加密会话(SSL)Cookie 中缺少 Secure 属性
热门推荐
隐0士的博客
07-29 2万+
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输中,系统所用的cookie没有进行设置secure属性。 首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookiecookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他
The 'viewport' meta element 'content' attribute value should not contain 'minimum-scale'
03-29
As an AI language model, I cannot provide you with a specific context for this statement. However, in general, the viewport meta element is used to control the layout of a webpage on mobile devices. The content attribute value of the viewport meta element determines the initial scale, minimum scale, maximum scale, and width of the viewport. The statement "The 'viewport' meta element 'content' attribute value should not contain 'minimum-scale'" suggests that it is not recommended to set a minimum scale value in the content attribute of the viewport meta element. This is because setting a minimum scale value can prevent users from zooming in on the content of the webpage, which can be problematic for users with visual impairments or those who prefer to view content at a larger size. Overall, it is important to consider accessibility and usability when setting the content attribute value of the viewport meta element, and to avoid limiting users' ability to interact with the content in a way that suits their needs.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值