响应头缺少或者配置了不安全content-security-policy属性_这些bug你遇到过几个?盘点10个常见安全测试漏洞及修复建议...

最新推荐文章于 2024-05-02 23:49:08 发布
最新推荐文章于 2024-05-02 23:49:08 发布
阅读量1.2w 收藏 10
点赞数
文章标签: 响应头缺少或者配置了不安全content-security-policy属性

随着互联网技术的飞速发展,业务的开展方式更加灵活,应用系统更加复杂,也因此面临着更多的安全性挑战。安全测试是在应用系统投产发布之前,验证应用系统的安全性并识别潜在安全缺陷的过程,目的是防范安全风险,满足保密性、完整性、可用性等要求。

21a559a4e0206fe770312e78c5c64621.png

  日常测试过程中经常遇到开发同事来询问一些常见的配置型漏洞应该如何去修复,为了帮助开发同事快速识别并解决问题,通过总结项目的安全测试工作经验,笔者汇总、分析了应用系统的一些常见配置型漏洞并给出相应的修复建议,在这里给大家进行简单的分享。

  一、Cookie缺少HttpOnly属性

  漏洞描述

  Cookie中的HttpOnly属性值规定了Cookie是否可以通过客户端脚本进行访问,能起到保护Cookie安全的作用,如果在Cookie中没有将HttpOnly属性设置为true,那么攻击者就可以通过程序(JS脚本、Applet等)窃取用户Cookie信息,增加攻击者的跨站脚本攻击威胁。窃取的Cookie中可能包含标识用户的敏感信息,如ASP.NET会话标识等,攻击者借助窃取的Cookie达到伪装用户身份或获取敏感信息的目的,进行跨站脚本攻击等。

d5766fc931e280510fbf93ecff50ae9e.png

  修复建议

  向所有会话Cookie中添加"HttpOnly"属性。

  1)Java语言示例:

  HttpServletResponse response2 = (HttpServletResponse)response;

  response2.setHeader( "Set-Cookie", "name=value; HttpOnly");

  2)C#语言示例:

  HttpCookie myCookie = new HttpCookie("myCookie");

  myCookie.HttpOnly = true;

  Response.AppendCookie(myCookie);

  3)VB.NET语言示例:

  Dim myCookie As HttpCookie = new HttpCookie("myCookie")

  myCookie.HttpOnly = True

  Response.AppendCookie(myCookie)

  二、加密会话(SSL)Cookie缺少secure属性

  漏洞描述

  对于敏感业务,如登录、转账、支付等,需要使用HTTPS来保证传输安全性,如果会话Cookie缺少secure属性,Web应用程序通过SSL向服务器端发送不安全的Cookie,可能会导致发送到服务器的Cookie被非HTTPS页面

最低0.47元/天 解锁文章
weixin_39559015
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
koa-csp:用于设置响应Content-Security-Policy
02-03
这是Koa2中间件,用于设置响应Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ...
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标添加到ServletResponse
05-02
将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数,则Header将如下所示: ...
【已解决】IIS环境检测到网站存在响应缺失、禁用Options方法、解决跨域攻击等不安全
wangjunlei的专栏
04-16 1047
4、检测到目标X-Permitted-Cross-Domain-Policies响应缺失 重新配置IIS。5、检测到目标Strict-Transport-Security响应缺失 重新配置IIS。3、检测到目标Content-Security-Policy响应缺失 IIS设置。1、检测到目标X-Content-Type-Options响应缺失。6、点击劫持:X-Frame-Options未配置 重新配置IIS。2、检测到目标X-XSS-Protection响应缺失。
【已解决】“Content-Security-Policy缺失
专注于Java领域开发 关注我 带你玩转Java
06-16 9721
【已解决】“Content-Security-Policy缺失
内容安全策略CSP--Content-Security-Policy
banliyaoguai的博客
05-02 281
Content Security Policy(CSP)是一种Web安全机制,。它通过允许网站管理员定义和实施一系列安全策略,限制页面加载和执行的内容来源,以减少潜在的安全风险。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP是一个额外的安全层,用于检测并削弱某些特定类型的攻击,使WEB处于一个安全的运行环境中。
web安全测试之appscan – “Content-Security-Policy缺失或不安全
Programming
06-05 1万+
web安全测试之appscan – “Content-Security-Policy缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-testAppscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含Content-Security-Policy请求header的缺失或不安全的时候,我们该如何应对。首先,它的严重性低。AppScan 检测到 Conten
Web 安全之内容安全策略(Content-Security-Policy,CSP)配置问题
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options未设置”警告的过滤器 1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
常见四种“缺失或不安全”问题
各自安好、的博客
07-27 8398
常见缺失或不安全问题 1、“Content-Security-Policy缺失或不安全 2、“X-Content-Type-Options”缺失或不安全 3、“X-XSS-Protection”缺失或不安全 4、设置HTTP请求(X-Frame-Options) 解决办法: 定义过滤器,并在启动类中添加注入 import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.htt
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 3072
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
nuxt-security:Nuxt.js的模块,用于配置安全
04-28
@ dansmaculotte / nuxt-security Nuxt.js的模块,用于配置安全等特征该模块允许您配置各种安全,例如CSP,HSTS,甚至生成security.txt文件。 以下是可用功能的列表: 严格传输安全内容安全策略标X-...
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单...一种是通过 HTTP 信息的`Content-Security-Policy`的字段。
content-security-policy.com:content-security-policy.com网站的源代码
04-27
content-security-policy.com content-security-policy.com网站的源代码
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Vue进阶(三十三)Content-Security-Policy(CSP)详解
IT全栈 华强工作室
09-05 6060
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP。
检测到目标Content-Security-Policy响应缺失
lxyoucan的博客
07-14 1872
HTTP 响应Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。Content-Security-Policy响应的缺失使得目标URL更易遭受跨站脚本攻击。
内容安全策略Content Security Policy( CSP )
摩尔__摩尔的博客
10-28 2977
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查看这里 章节1.1)。不支持CSP的浏览器也能与实现了CSP的服务器正常合作,反之亦然:不支持 CSP 的浏览器只...
Nginx 解决内容安全策略CSP(Content-Security-Policy配置方式
ideal-lingyun
09-24 3936
Nginx 解决内容安全策略CSP(Content-Security-Policy配置方式
关于nginx HTTP安全响应问题
liwan09的博客
04-20 8651
攻击者利用透明的、不可见的iframe,覆盖在一个网页上,此时用户在不知情的情况下点击了这个透明的iframe页面。X-Content-Type-Options 响应相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。web浏览器在响应缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
Web安全之Content Security Policy(CSP 内容安全策略)详解
路多辛的所思所想
04-12 5971
Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。script-src:外部脚本style-src:样式文件img-src:图片文件media-src:媒体文件(音频和视频)font-src:字体文件object-src:插件(比如 Flash)child-src:框架frame-ancestors:嵌入的外部资源(比如、、和)
add_header Content-Security-Policy配置属性有什么?
最新发布
06-06
`Content-Security-Policy (CSP)` 是一个HTTP部字段,用于定义一个文档内容的安全策略,限制网页加载的内容来源、特定类型的资源(如脚本、样式表或图片)以及执行的操作。`add_header Content-Security-Policy` 可配置属性允许网站管理员设置多个策略规则,以增强网站的安全性。常见的可配置属性包括: 1. **默认-src**:指定哪些源(如 `http://`, `https://`, `data:` 等)是默认信任的。如果没有明确指定其他策略,所有资源都会从这里加载。 2. **script-src**:控制外部脚本的来源,可以是一组特定的URL,也可以使用通配符(如 `*` 或 `self`)。 3. **style-src**:类似script-src,但用于外部样式表。 4. **img-src**:指定图片和媒体文件的来源。 5. **connect-src**:处理XHR、WebSocket等连接请求的源。 6. **frame-src**:定义哪些页面可以作为嵌套在当前文档中的框架加载。 7. **base-uri**:设置文档基础URI,影响相对URL解析。 8. **form-action**:指定表单提交的默认目标URL。 9. **object-src**:对嵌入式对象(如Flash)的来源进行控制。 10. **child-src**:对于`iframe`和`embed`元素,控制子文档的来源。 11. **report-uri**:指定违反CSP的事件应报告到哪个URL。 12. **sandbox**:提供一个安全沙箱环境,限制元素的行为。 13. **referrer**:指定如何包含或禁用Referrer政策。 在设置CSP时,你可以根据需求组合这些属性,并使用 `default-src` 和 `upgrade-insecure-requests` 来逐步提高安全性。例如: ``` add_header Content-Security-Policy "default-src 'self'; script-src 'strict-dynamic' https:; img-src 'self' data:; style-src 'self' 'unsafe-inline'; report-uri /csp-violation-report"; ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值