常见web扫描漏洞修复即网站服务器加固项

最新推荐文章于 2024-06-04 15:58:35 发布
最新推荐文章于 2024-06-04 15:58:35 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: web服务那些事
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshiji594167/article/details/103124015
版权

名称:X-Frame-Options Header未配置

漏洞描述:X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示,以此使网站内容不被其他站点引用和免于点击劫持攻击.
修复方法:设置X-Frame-Options头,三个可选值:1、DENY:无论如何不在框架中显示;2、SAMEORIGIN:仅在同源域名下的框架中显示;3、ALLOW-FROM uri:仅在指定域名下的框架中显示
具体操作方法:

//X-Frame-Options 设置
    Apache :
    引入mod_header模块,配置 Header always append X-Frame-Options SAMEORIGIN
    
    Nginx  :
    add_header X-Frame-Options SAMEORIGIN;

名称:Apache http server 版本信息泄露

漏洞描述:可以获取远程apache http服务器的版本号
修复方法:隐藏Apache版本号以及重新编译Apache
具体操作方法:

//server版本信息泄露
    Apache:
    1)、隐藏版本号:
    ServerTokens Prod    
    ServerSignature off  
    隐藏版本号的缺点是在http的响应头中还是可以看到server头里显示的web服务的类型。
    2)、在apache源码包中的include/ap_release.h中找到如下信息,将BaseProduct中的名称改变,若将洗面的version号改变,则可以不在配置文件中设置隐藏版本,起到迷惑作用。
    #define AP_SERVER_BASEVENDOR "Apache Software Foundation"  
    #define AP_SERVER_BASEPROJECT "Apache HTTP Server"  
    #define AP_SERVER_BASEPRODUCT "Apache"  
  
    #define AP_SERVER_MAJORVERSION_NUMBER 2  
    #define AP_SERVER_MINORVERSION_NUMBER 4  
    #define AP_SERVER_PATCHLEVEL_NUMBER
最低0.47元/天 解锁文章
末日天空
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【云原生技术】- 安全容器隔离技术:安全隔离、性能隔离、故障隔离
wangluoanquan111的博客
03-26 1739
在容器化和微服务架构中,“安全隔离”、“性能隔离” 和 “故障隔离” 是三个关键概念,它们是确保系统稳定、安全和高效运行的重要方面。
WEB应用漏洞修复汇总
时生
10-23 1804
看到一个比较好的web漏洞总结,怕忘掉,先记一下 . SQL注入 风险等级:高危 漏洞描述: SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQL Injection,即SQL注入漏洞漏洞危害: 机密数据被窃取; 核心业务数据被篡改; 网页被篡改; ...
隐藏nginx响应头中的server信息(HTTP服务器版本信息泄漏)
最新发布
jugt的博客
06-04 828
安全审计中有时会有漏洞名称 HTTP服务器版本信息泄漏 漏洞描述目标服务器返回的信息头中包含了Web Server的软件或者版本信息。可以安装 nginx的headers-more-nginx-module模块修改或隐藏响应头信息。
X-Content-Type-Options: nosniff
weixin_34040079的博客
03-05 1万+
如果服务器发送响应头 "X-Content-Type-Options: nosniff",则script和styleSheet元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的***。简单理解为:通过设置"X-Content-Type-Options: nosniff"响应标头,对script和styleSheet...
安全相关的Http响应头
小白成神路
04-11 1595
安全相关的Http响应头一、前言二、常见的安全相关HTTP响应头介绍X-Frame-OptionsX-XSS-ProtectionX-Content-Type-OptionsStrict-Transport-SecurityX-Content-Security-Policy三、头部互联网公司安全http头的使用情况四、结语 一、前言 近期在翻阅 laravel文档 时,发现官方推荐的nginx配置...
XSS-Protection未配置漏洞
煜铭2011
06-20 4564
0x00 背景 HTTP XSS-Protection响应标头是Internet Explorer,Chrome和Safari的功能,当页面检测到反射的跨站点脚本(XSS)攻击时,该页面将阻止加载页面。 尽管当站点实施强大的Content-Security-Policy禁止使用内JavaScript(“不安全内联”)时。 在现代浏览器中这些保护在很大程度上是不必要的,但它们仍可以为尚未使用旧版Web浏览器的用户提供保护 支持CSP。 0x01 修复思路 配置XSS-Protection响应标头值
检测到系统有X-Content-Type-Options响应头缺失
hzjhss的博客
09-03 2159
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。https://stackoverflow.com/questions/21322295/how-can-i-add-x-content-type-options-nosniff-to-all-the-response-headers-from找到配置文件。apache的解决办法。
cgiscan,web漏洞扫描企业版
07-07
CGISCAN是一款专业的Web漏洞扫描工具,主要用于企业级的网络安全检测。它帮助企业发现并修复Web应用程序中的安全漏洞,以防止潜在的黑客攻击和数据泄露。以下是对CGISCAN及其功能的详细阐述: 1. **CGISCAN简介**...
E112-经典赛题-WEB渗透扫描加固.pdf
12-02
`httsquish`是一个用于扫描Web应用程序的工具,它可以检测出服务器上可能存在的安全漏洞。在课程中,你需要使用`httsquish`工具扫描Server2003服务器,查看其返回信息的第五行"X-Powered-By:"字段,这一字段通常会...
Web应用漏洞扫描软件JSky beta版.rar
09-13
8. **修复建议**:除了提供漏洞列表,JSky可能还会给出如何修复这些漏洞的建议,帮助用户快速加固Web应用。 9. **持续更新**:由于新的安全威胁不断出现,JSky需要不断更新其漏洞库,以适应最新的安全挑战。 10. *...
Web服务器安全完全指南
10-01
### Web服务器安全完全指南 随着互联网技术的飞速发展,Web服务器已经成为企业和组织对外提供服务的重要基础设施之一。...同时,建议定期进行安全审计和漏洞扫描,及时发现并修复潜在的安全隐患。
php实现Linux服务器木马排查及加固功能
10-24
9. **代码审计**:对网站代码进行定期审查,查找并修复可能的安全漏洞。 通过上述步骤,我们可以显著提高Linux服务器的安全性,降低被挂马的风险。然而,安全工作是持续的过程,需要定期评估和调整策略,以应对不断...
点击劫持漏洞原理和复现
weixin_54438700的博客
05-20 3554
一、漏洞原理 点击劫持(Clickbandit),主要是利用HTML中iframe便签可以透明的属性进行利用攻击,其原理是通过在原本的网页上覆盖透明的框架并使受害者在不知情的情况下进行点击。漏洞主要是由于未对referer字段来源进行检验。常常配合csrf和xss。 图中,攻击者在原本网站上覆盖一个透明框架,受害者正常访问网站A,就会点击到这个透明框架B。攻击者常常利用该漏洞诱导受害者点击关键位置进行一些操作,比如转账、购买等危险操作。 二、漏洞复现 1.借助burpsuite工具,选择Clickb
OpenSSL 代码问题漏洞(CVE-2020-1971)(CVE-2020-1967)
lanren312的博客
06-23 3870
突然接到任务要维护服务器,一脸懵逼,硬着头皮上.....Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.org/news/secadv/20200421.txt文档中指出:这些版本的用户应升级到 OpenSSL 1.1.1。Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.
IBM AppScan 安全扫描:Missing Content-Security-Policy ;X-Content-Type-Options ;X-XSS-Protection响应头
热门推荐
崔向阳@李晓的博客
12-06 2万+
一问题:IBM AppScan 安全扫描提示: 二问题解决: 1. X-XSS-Protection 目的 这个header主要是用来防止浏览器中的反射性xss。现在,只有IE,chrome和safari(webkit)支持这个header。 正确的设置 0 – 关闭对浏览器的xss防护 1 – 开启xss防护 1; mode=block – 开启...
nginx 响应头详解
speechless fish 的博客
05-19 4463
1、add_header X-Frame-Options SAMEORIGIN; # DENY 表示该页面不允许在frame中展示,即使在相同域名的页面中嵌套也不允许,SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示,ALLOW-FROM url 表示该页面可以在指定来源的frame中展示 2、add_header X-Content-Type-Options: nosniff; 禁止服务器自动解析资源类型 3、add_header X-XSS-Protection "...
几个“HTTP 请求头”告警处理
虫虫的博客
09-23 2655
给NC搬了个家,发现又是一堆警告,都是HTTP响应头相关的,不太影响使用,但对于强迫症来说,不解决一下怎么行 一些老旧的告警解决方法之前都写过了,见这里:https://bugxia.com/?s=nextcloud+后台+警告 HTTP的请求头 “Strict-Transport-Security” 未设置为至少 “15552000” 秒。 HTTP 请求头 “X-Content-Type-Options” 没有配置为 “nosniff”。这是一个潜在的安全或隐私风险,我们建议您调整这设置。 HT
(laravel,apache,nginx )响应头设置 (有关iframe嵌套,xss 攻击,防止基于 MIME 类型混淆的攻击)的配置
qq_35190486的博客
11-16 1054
nginx 配置 server { listen 80; server_name nestle.com ; root "D:\install\PHPTutorial\WWW\skscrm\dist"; add_header X-Frame-Options SAMEORIGIN; add_header X-XSS-Protection '1; mode=block'; add_header ...
web安全测试之appscan – “X-XSS-Protection”头缺失或不安全 - 猿码设计师
Programming
06-06 3569
web安全测试之appscan – “X-XSS-Protection”头缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-test3Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含X-XSS-Protection请求头header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感
"Web漏洞修复建议1.01 - 安全加固方案详解
WEB漏洞检测及修复方案是一个非常重要的安全措施,通过对网站存在的漏洞进行检测和修复,可以保护用户的信息安全,防止不法分子利用漏洞进行攻击。在修复漏洞时,需要采取一些加固方案来保证修复的效果能够持久。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值