pageadmin网站X-Frame-Options Header Not Set漏洞修补

最新推荐文章于 2024-08-03 22:29:48 发布
最新推荐文章于 2024-08-03 22:29:48 发布
阅读量560 收藏
点赞数
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smxdgf/article/details/105593919
版权

近期网站被攻击,利用owasp ZAP扫描后,发现X-Frame-Options Header Not Set漏洞。
配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>

参考文章:Web安全 之 X-Frame-Options响应头配置,https://blog.csdn.net/u013310119/article/details/81064943
Hardening your HTTP response headers,https://scotthelme.co.uk/hardening-your-http-response-headers/#x-content-type-options

smxdgf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PageAdmin CMS 完全破解步骤(非简单去版权)
02-17
PageAdmin CMS 完全破解步骤(非简单去版权)
PageAdmin企业网站管理系统-.net
06-19
PageAdmin网站管理系统V4.0,基于微软最新的MVC框架全新开发,强大的后台管理功能,良好的用户操作体验,可热插拔的插件功能让扩展更加灵活和开放,全部信息表采用自定义表单,可任意自定义扩展字段,支持一对一,一...
X-Frame-Options header not set
weixin_34294649的博客
12-05 679
点击劫持header(‘X-Frame-Options:SAMEORIGIN’)当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。 转载于:https://blog.51cto.com/dandanqs/13366...
【原创】PageAdminCMS 前台SQL注入漏洞(3)
weixin_33688840的博客
01-19 944
之前根据公司的要求找了几个web程序的漏洞提交CNVVD,发现漏洞提交上去两个月了,CNVVD却没有任何回应,我提交的这几个漏洞却悄悄的修补掉了。 文章作者:rebeyond 受影响版本:V3.0 漏洞说明: PageAdmin网站管理系统(CMS)是.NET开发的一款支持多分站、多语种,集成内容发布、信息发布、自定义表单、自定义模型、会员系统、业务管理等功能于一体的独立网站管理系统,支持...
响应头未设置X-Frame-Options
重露成涓滴
09-11 2185
问题:响应头未设置X-Frame-Options 描述: 由于应用未设置响应头X-Frame-Options,易受到点击劫持攻击。点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的 iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面 的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。例如,攻击者通过flash构造出的点击 劫持,可以控制用户电脑的摄像头。随
X-Frame-Options Header Not Set漏洞解决
ssrswk9的博客
08-21 7595
这是用OWASP ZAP漏扫软件扫出来的漏洞漏洞提示响应头没有设置。通过过滤器设置响应头,扫描的时候还是存在漏洞。仔细排查,在tomcat 9服务器的conf目录下,web.xml文件中,加入一段过滤代码,解决问题。 在Java中增加过滤器的代码如下: HttpServletRequest req = (HttpServletRequest)request; HttpServletRespo...
PageAdmin个人博客系统-.net
06-13
PageAdmin响应式博客系统,适合用于个人网站制作,个人博客的制作,采用响应式设计,在pc、ipad和手机上访问都有很好的浏览体验,功能强大,扩展灵活,支持后台和会员中心发布文章。 PageAdmin4.0基于微软最新的MVC...
PageAdmin网站管理系统 v3.0 build170207
12-02
PageAdmin网站管理系统是一款支持多分站、多语种,集成内容发布、信息发布、自定义表单、自定义模型、会员系统、业务管理等功能于一体的网站管理系统,于2009年正式发布,目前全国用户已经超过100万以上,被广泛用于...
pageadmin企业网站管理系统-绿色农产品公司网站模板
02-02
9. **安全性**:PageAdmin定期更新,修复安全漏洞,保护网站数据安全。 在"农产品公司模板"中,我们可能看到以下设计特点: 1. **首页**:通常会有一个引人注目的轮播图,展示特色农产品和种植环境;下面可能会有...
PageAdmin网站管理系统 v3.0 build181124
10-05
PageAdmin网站管理系统是一款备受瞩目的内容管理系统,专为构建多分站、多语种的网站而设计。自2009年首次推出以来,它已发展成为一款功能强大的平台,集成了众多实用特性,如内容发布、信息发布、自定义表单、...
安全提示"X-Frame-Options头未设置"解决方法
weixin_41996632的博客
05-21 2024
在服务器下面的过滤器中配置 public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterch) throws IOException, ServletException { request.setCharacterEncoding("utf-8"); response....
Pageadmin 漏洞教程
最新发布
2201_75891821的博客
08-03 160
这个就是我们生成的asp木马不能直接上传 压缩为zip文件。
漏洞深度分析|Pgadmin 命令执行漏洞
LJQClqjc的博客
12-16 646
棱镜七彩漏洞深度分析
Pageadmin-漏洞复现(上传⽂件漏洞
weixin_57682301的博客
08-03 113
8.使用中国蚁剑将asp路径以及密码输入进去,测试连接,连接成功证明文件上传漏洞成功。3.打开哥斯拉 管理---生成 生成一个密码为pass的asp木马。5.点击功能菜单----上传文件 上传我们刚刚压缩好的zip文件。7.在地址栏中访问解压出来的asp文件,未报错证明木马注入成功。1.搭建环境启动登录管理员账户,在网址后加/admin。6.上传后点击zip后的解压,将压缩包内的文件解压出来。4.将asp木马压缩成zip格式以便一会上传。2.进入后点击工具---文件管理。
【原创】PageAdminCMS 前台SQL注入漏洞(1)
weixin_34150830的博客
01-19 941
之前根据公司的要求找了几个web程序的漏洞提交CNVVD,发现漏洞提交上去两个月了,CNVVD却没有任何回应,我提交的这几个漏洞却悄悄的修补掉了。 文章作者:rebeyond 受影响版本:V3.0 漏洞说明: PageAdmin网站管理系统(CMS)是.NET开发的一款支持多分站、多语种,集成内容发布、信息发布、自定义表单、自定义模型、会员系统、业务管理等功能于一体的独立网站管理系统,支持...
【原创】PageAdminCMS 前台SQL注入漏洞(2)
weixin_34194551的博客
01-19 250
之前根据公司的要求找了几个web程序的漏洞提交CNVVD,发现漏洞提交上去两个月了,CNVVD却没有任何回应,我提交的这几个漏洞却悄悄的修补掉了。 文章作者:rebeyond 受影响版本:V3.0 漏洞说明: PageAdmin网站管理系统(CMS)是.NET开发的一款支持多分站、多语种,集成内容发布、信息发布、自定义表单、自定义模型、会员系统、业务管理等功能于一体的独立网站管理系统,支持...
ZAP安全扫描漏洞X-Frame-Options Header
weixin_41634235的博客
07-08 473
X-Frame-Options Header Not Set 在jsp界面添加response.addHeader(“X-Frame-Options”,“SAMEORIGIN”); 或者添加拦截器Filter(tomcat or jettty),在web.xml设置过滤条件。 通过设置该响应头避免网站在客户端被劫持。 X-Content-Type-Options Header Missing 和 Cookie No HttpOnly Flag 同上设置响应头 response.addHeader.
PageAdmin Cms V2.0 getshell 0day
08-26 637
黑小子在土司公布了“PageAdmin cms getshell Oday”,并给出了一个漏 洞的利用EXP。经过危险漫步在虚拟机里测试,存在漏洞的是PageAdmin Cms的次最薪版本PageAdmm CmsV2.0,最新版本pageadmin v2.1 20110927不存在这个漏洞了。利用漏洞可以直接获得shell,危害还是很大的。 一、漏洞简介 Page...
pageadmin cms 2.x后台登陆绕过
09-29
想要回答关于pageadmin cms 2.x后台登录绕过的问题,我要先指出这是一种非法行为,违反了网络安全和法律法规。以下是一个合法途径来解决类似的问题。 在遇到后台登录登陆绕过的情况时,第一步是联系网站的管理员或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值