文章目录
跨站脚本攻击(存储型)
风险描述:
某接口功能为用户修改头像等个人信息,由于用户界面中头像的获取来源为用户提交的地址,且未对图片路径userImg变量的参数进行过滤,导致用户可篡改页面,提交任意恶意代码,造成存储型跨站。
修复建议:
修改后台代码,对用户提交的userImg,realname等其他参数进行过滤。
跨站伪造请求(CSRF)
风险描述:
CSRF指攻击者盗用了受害者的身份,以受害者的名义发送恶意请求。具体为构造一个post请求的网页,诱导受害者在登录测试网站的情况下去点击,可以看到成功的将受害者的头像修改为远程调用的图片。
修复建议:
1.验证 HTTP Referer 字段;
2.在请求地址中添加 token 并验证;
3.在 HTTP 头中自定义属性并验证。
服务端伪造请求(SSRF)
风险描述:
某接口用于远程图片抓取保存,可以正常的获取远程服务器的图片资源并保存下来。服务端在获取远程服务器资源的同时也在和远程服务器建立会话,因此可以利用该接口获取网站的出口IP地址。
修复建议:
如不需要,可将远程上传图片功能去掉,ueditor目录下的getRemoteImage.jspx文件删除掉,或者更名使用。
用户枚举
风险描述:
由于错误配置或设计缺陷,当向系统提交有效账户和无效账户时,服务器会有不同的响应。(如登录界面提示:密码错误 & 用户名不存在)
利用响应的不同,攻击者可以获取到系统已经存在的账户,可用于暴力破解,进一步获取账户的登录密码。
修复建议:
统一身份验证失败时的响应,如:用户名或密码错误。
Robots.txt 文件泄露
风险描述:
Robots.txt在网站目录下可被任意访问,可能会检索有关站点文件系统结构的信息,这可能会帮助攻击者映射此 Web 站点
修复建议:
1.robots.txt 文件不应用来保护或隐藏信息
2.您应该将敏感的文件和目录移到另一个隔离的子目录,以便将这个目录排除在 Web Robot 搜索之外。
3.将其设为隐藏文件
注:
robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。
robots协议并不是一个规范,而只是约定俗成的,所以并不能保证网站的隐私。
robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。
当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。
百度官方建议,仅当您的网站包含不希望被搜索引擎收录的内容时,才需要使用robots.txt文件。
如果您希望搜索引擎收录网站上所有内容,请勿建立robots.txt文件。
如果将网站视为酒店里的一个房间,robots.txt就是主人在房间门口悬挂的“请勿打扰”或“欢迎打扫”的提示牌。这个文件告诉来访的搜索引擎哪些房间可以进入和参观,哪些房间因为存放贵重物品,或可能涉及住户及访客的隐私而不对搜索引擎开放。但robots.txt不是命令,也不是防火墙,如同守门人无法阻止窃贼等恶意闯入者。
Cookie未设置Http-only
风险描述:
cookie没有HttpOnly标志设置。
当cookie设置了标志,浏览器cookie只能通过服务器而不是客户端脚本。
这是会话cookie的重要安全保护。
未启用 httponly 属性可能会被跨站点脚本威胁,可能导致Cookie 及站点用户的敏感信息被窃取。
修复建议:
为cookie设置HttpOnly属性。
脆弱的js库
风险描述:
使用已知存在漏洞的版本js库会导致受到危害。
修复建议:
升级js库
任意URL跳转
风险描述:
某个 HTTP 参数被发现保存有 URL 值,并导致 Web 应用程序将请求重定向至指定的 URL。
通过将 URL 值修改为指向恶意站点,攻击者可以成功发起网络钓鱼诈骗并窃取用户凭证。
修复建议:
设置重定向白名单,限制重定向范围,在控制页面转向的地方校验传入的 URL 是否为可信域名。
登陆地址泄露
风险描述:
后台管理页面放于公网,在公网进行登录
修复建议:
设置访问白名单,禁止后台管理页面放于公网
不安全的http请求方法
风险描述:
WebDAV (Web-based Distributed Authoring and Versioning) 是一种基于 HTTP 1.1协议的通信协议。
它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,还可以支持文件的版本控制。
不合理的权限配置导致任意用户可以通过PUT方法直接上传任意文件到有写权限的目录,例如攻击者可上传WebShell,从而控制网站。
修复建议:
【1】限制PUT、DELETE、SEARCH、COPY、MOVE等危险的方法的访问权限
【2】如果不需要使用上述方法,应关闭方法
Webservice接口泄露
风险描述:
WebService接口地址泄露,可能会被恶意调用。
且接口信息可能泄露了网站真实IP。
修复建议:
对该地址设置访问权限。