常见web扫描漏洞修复即网站服务器加固项

最新推荐文章于 2024-06-04 15:58:35 发布
最新推荐文章于 2024-06-04 15:58:35 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: web服务那些事
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshiji594167/article/details/103124015
版权

名称:X-Frame-Options Header未配置

漏洞描述:X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示,以此使网站内容不被其他站点引用和免于点击劫持攻击.
修复方法:设置X-Frame-Options头,三个可选值:1、DENY:无论如何不在框架中显示;2、SAMEORIGIN:仅在同源域名下的框架中显示;3、ALLOW-FROM uri:仅在指定域名下的框架中显示
具体操作方法:

//X-Frame-Options 设置
    Apache :
    引入mod_header模块,配置 Header always append X-Frame-Options SAMEORIGIN
    
    Nginx  :
    add_header X-Frame-Options SAMEORIGIN;

名称:Apache http server 版本信息泄露

漏洞描述:可以获取远程apache http服务器的版本号
修复方法:隐藏Apache版本号以及重新编译Apache
具体操作方法:

//server版本信息泄露
    Apache:
    1)、隐藏版本号:
    ServerTokens Prod    
    ServerSignature off  
    隐藏版本号的缺点是在http的响应头中还是可以看到server头里显示的web服务的类型。
    2)、在apache源码包中的include/ap_release.h中找到如下信息,将BaseProduct中的名称改变,若将洗面的version号改变,则可以不在配置文件中设置隐藏版本,起到迷惑作用。
    #define AP_SERVER_BASEVENDOR "Apache Software Foundation"  
    #define AP_SERVER_BASEPROJECT "Apache HTTP Server"  
    #define AP_SERVER_BASEPRODUCT "Apache"  
  
    #define AP_SERVER_MAJORVERSION_NUMBER 2  
    #define AP_SERVER_MINORVERSION_NUMBER 4  
    #define AP_SERVER_PATCHLEVEL_NUMBER
最低0.47元/天 解锁文章
末日天空
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP请求Header分析
coach
01-27 3112
客户端HTTP请求的Header信息 1、HTTP请求方式 GET 向Web服务器请求一个文件 POST 向Web服务器发送数据让Web服务器进行处理 PUT 向Web服务器发送数据并存储在Web服务器内部 HEAD 检查一个对象是否存在 DELETE 从Web服务器上删除一个文件 CONNECT 对通道提供支持 TRACE 跟踪到服务器的路径 O...
X-XSS-Protection
热门推荐
椰汁菠萝
03-18 1万+
HTTPX-XSS-Protection响应头是Internet Explorer,Chrome和Safari的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时,他们仍然可以为尚不支持CSP...
隐藏nginx响应头中的server信息(HTTP服务器版本信息泄漏)
最新发布
jugt的博客
06-04 503
安全审计中有时会有漏洞名称 HTTP服务器版本信息泄漏 漏洞描述目标服务器返回的信息头中包含了Web Server的软件或者版本信息。可以安装 nginx的headers-more-nginx-module模块修改或隐藏响应头信息。
XSS注入方法
洋洋的小黑屋
12-30 1794
X-XSS-Protection头 HTTP X-XSS-Protection响应标头是 Internet Explorer, Chrome 和 Safari 的一功能,可在检测到反射的跨站点脚本(XSS)攻击时阻止页面加载。 X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block 0:关闭浏览器的XSS防...
安全隐患,你对X-XSS-Protection头部字段理解可能有误
万事俱备,就差一个程序员了
01-19 1219
*本文原创作者:bgusko63190,本文属FreeBuf原创奖励计划,未经许可禁止转载 0×00. 引言 我曾做过一个调查,看看网友们对关于X-XSS-Protection 字段的设置中,哪一个设置是最差的,调查结果令我非常吃惊,故有此文。 网友们认为 最差的配置是X-XSS-Protection: 0,其次是 X-XSS-Protection: 1; mode=block, 反而X-X...
X-Content-Type-Options: nosniff
weixin_34040079的博客
03-05 1万+
如果服务器发送响应头 "X-Content-Type-Options: nosniff",则script和styleSheet元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的***。简单理解为:通过设置"X-Content-Type-Options: nosniff"响应标头,对script和styleSheet...
cgiscan,web漏洞扫描企业版
07-07
CGISCAN是一款专业的Web漏洞扫描工具,主要用于企业级的网络安全检测。它帮助企业发现并修复Web应用程序中的安全漏洞,以防止潜在的黑客攻击和数据泄露。以下是对CGISCAN及其功能的详细阐述: 1. **CGISCAN简介**...
E112-经典赛题-WEB渗透扫描加固.pdf
12-02
`httsquish`是一个用于扫描Web应用程序的工具,它可以检测出服务器上可能存在的安全漏洞。在课程中,你需要使用`httsquish`工具扫描Server2003服务器,查看其返回信息的第五行"X-Powered-By:"字段,这一字段通常会...
Web应用漏洞扫描软件JSky beta版.rar
09-13
8. **修复建议**:除了提供漏洞列表,JSky可能还会给出如何修复这些漏洞的建议,帮助用户快速加固Web应用。 9. **持续更新**:由于新的安全威胁不断出现,JSky需要不断更新其漏洞库,以适应最新的安全挑战。 10. *...
php实现Linux服务器木马排查及加固功能
10-24
9. **代码审计**:对网站代码进行定期审查,查找并修复可能的安全漏洞。 通过上述步骤,我们可以显著提高Linux服务器的安全性,降低被挂马的风险。然而,安全工作是持续的过程,需要定期评估和调整策略,以应对不断...
ASP网站漏洞扫描工具冰舞
06-20
5. **修复漏洞**:根据报告提供的建议,对网站进行安全加固。 **五、安全防护措施** 1. **代码审计**:定期进行代码审查,避免引入新的安全风险。 2. **输入验证**:对用户输入的数据进行严格的检查和过滤。 3. **...
安全相关的Http响应头
小白成神路
04-11 1553
安全相关的Http响应头一、前言二、常见的安全相关HTTP响应头介绍X-Frame-OptionsX-XSS-ProtectionX-Content-Type-OptionsStrict-Transport-SecurityX-Content-Security-Policy三、头部互联网公司安全http头的使用情况四、结语 一、前言 近期在翻阅 laravel文档 时,发现官方推荐的nginx配置...
【已解决】“X-Content-Type-Options”头缺失或不安全
专注于Java领域开发 关注我 带你玩转Java
06-16 1万+
“X-Content-Type-Options”头缺失或不安全
X-Content-Type-Options: nosniff 禁用浏览器类型猜测保证安全性
程序员老狼专注开发aigc或客服系统应用
10-22 3533
在开发我的客服系统目的时候,看到浏览器开发者模式有报错,是安全相关的错误,提示让加上这个响应头 原因是下面这样的: 互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,...
Web 安全之 X-XSS-Protection 详解_request payload x-xss-protection
m0_60634927的博客
04-06 877
跨站脚本(XSS)是一种常见的网络攻击,攻击者通过在网站中插入恶意脚本,当用户访问被污染的页面时,恶意脚本会被执行,从而窃取用户的敏感信息、篡改页面内容或者执行其他恶意操作。XSS 攻击分为三种类型:持久型、DOM-based 型和反射型 XSS(非持久型)。持久型 XSS:攻击者在网页中插入恶意脚本,并将其保存到服务器或数据库中。当其他用户访问该页面时,恶意脚本会被执行,从而进行长期的网络攻击。这种类型的攻击比较危险,因为可以长期地影响用户。
HTTP响应头使用X-XSS-Protection(漏洞)
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
06-05 3011
HTTP X-XSS-Protection 响应头是Internet Explorer,Chrome和的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时, 他们仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。
点击劫持漏洞
qq_50854662的博客
08-15 2245
点击劫持漏洞
响应头缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 7062
web安全响应头
安全修复建议加固方案1.01
08-03
WEB漏洞检测及修复方案是一个非常重要的安全措施,通过对网站存在的漏洞进行检测和修复,可以保护用户的信息安全,防止不法分子利用漏洞进行攻击。在修复漏洞时,需要采取一些加固方案来保证修复的效果能够持久。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值