网站漏洞扫描修复
在数字化转型的时代背景下,网络安全成为企业不可或缺的一部分。随着互联网技术的发展,网站面临的安全威胁日益增多,其中网站漏洞更是攻击者的主要切入点之一。为了保障网站的安全性和稳定性,我们采取了积极的防御措施。近期,我们的网站通过华为云的漏洞管理服务进行了全面的漏洞扫描,这一过程不仅帮助我们发现了潜在的安全风险,还为我们提供了宝贵的修复建议。本文将详细介绍我们在使用华为云漏洞管理服务的过程中发现的问题及其解决方案,以及如何通过这些步骤加强网站的安全防护。
以下均是中是通过 nginx 部署的网站漏洞修复。
- 未使用HTTPS安全协议
一般情况下是未开启强制https,打开应该就行
- 访问越权
这个问题可能是因为项目根目录中存在一些在白名单中的页面或不需要登录,再或者是一些第三方工具页面。忽略即可
- 发现可高速缓存的页面
add_header Cache-Control no-store;
- 跨站点脚本包含
add_header X-XSS-Protection "1; mode=block";
- 支持弱TLS加密算法
ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:!DES:!RC4:!MD5:!3DES';
- Content-Security-Policy头配置错误
add_header Content-Security-Policy "frame-ancestors 'self'";
- Strict-Transport-Security头配置错误
add_header Strict-Transport-Security "max-age=31536000";
- Set-Cookie头配置错误
add_header Set-Cookie "Path=/; HttpOnly; Secure";
- X-Frame-Options头配置错误
add_header X-Frame-Options "SAMEORIGIN";
- X-Content-Type-Options头配置错误
add_header X-Content-Type-Options "nosniff";