appscan前端安全漏洞修复————持续记录

置顶 已于 2024-01-09 09:23:20 修改
阅读量375 收藏 1
点赞数 2
文章标签: 服务器 linux nginx 前端 vue
于 2023-11-10 14:42:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsx981049288/article/details/134332574
版权

目录

1.缺少“X-Content-Type-Options”头

2.缺少“X-XSS-Protection”头

3.已解密的登录请求

4.SRI (Subresource Integrity) 的检查

5.不安全的第三方链接(target="_blank")

6. Vulnerable Component

1.缺少“X-Content-Type-Options”头

修改nginx.conf配置文件,加上这一句:

add_header X-Content-Type-Options nosniff;

2.缺少“X-XSS-Protection”头

修改nginx.conf配置文件,加上这一句:

add_header X-XSS-Protection "1; mode=block";

3.已解密的登录请求

实际上就是登录的用户密码需要加密传输,进行RSA加密处理:

先安装jsencrypt :npm install jsencrypt --dev

在util里创建文件写上:

import JSEncrypt from 'jsencrypt/bin/jsencrypt.min'
// 密钥对生成 http://web.chacuo.net/netrsakeypair; 把下面生成的公钥、私钥换成自己生成的即可
const publicKey = '',//生成的公钥
const privateKey='',

// 加密
export function encrypt(txt) {
  const encryptor = new JSEncrypt()
  encryptor.setPublicKey(publicKey) // 设置公钥
  return encryptor.encrypt(txt) // 对数据进行加密
}

// 解密
export function decrypt(txt) {
  const encryptor = new JSEncrypt()
  encryptor.setPrivateKey(privateKey) // 设置私钥
  return encryptor.decrypt(txt) // 对数据进行解密
}

登录页面使用:

import { encrypt, decrypt } from '@/utils/jsencrypt'//rememberMe-password加密

Cookies.set("password", encrypt(this.loginForm.password), { expires: 30 });//存到cookies时加密

//传数据时加密
let params = {
  password: encrypt(this.loginForm.password)
}
//取出时解密
this.loginForm.password: decrypt(password),

4.SRI (Subresource Integrity) 的检查

这一块是查百度的,看到一位大佬的分享:

结合我自己遇到的漏洞:
总结:很有可能是某个文件有问题,不应该从网上去下载,可以将其下载到本地,从本地引入。

5.不安全的第三方链接(target="_blank")

在a标签里添加 rel="nofollow me noopener noreferrer"

6. Vulnerable Component

appscan的提示是:Using obsolete or vulnerable versions leaves your application open to potential security breaches。

意思是:使用过时或易受攻击的版本会使应用程序面临潜在的安全漏洞。

所以出现这个漏洞一般就是你用了比较古老的插件,比如低版本的jquery、common.js等等。

解决方法是:换最新版本的插件

-----持续记录更新中

WSX2018
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
AppScan扫描结果分析及工具栏使用
dkdeuyv9165的博客
06-29 598
Appscan的窗口大概分三个模块,Application Links(应用链接), Security Issues(安全问题), and Analysis(分析) Application Links Pane(应用程序结构) 这一块主要显示网站的层次结构,基于URL和基于内容形式的文件夹和文件等都会在这里显示,在旁边的括号里显示的数字代表存在的漏洞或者安全问题.通过右键单...
AppScan扫描安全问题修复
ThisLX的博客
08-14 4508
AppScan扫描安全问题修复1、隐藏Nginx版本号2、缺少“Content-Security-Policy”头3、缺少“X-Content-Type-Options”头4、缺少“X-XSS-Protection”头5、已解密的登录请求6、会话标识未更新7、SRI (Subresource Integrity) 的检查 1、隐藏Nginx版本号 修改nginx.conf配置文件 http { ...
Subresource Integrity 介绍--SRI (Subresource Integrity) 的检查
zhang8907xiaoyue的博客
11-23 8806
这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。 SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性(草案),它也是由 Web 应用安全工作组(
Web低危漏洞之缺少“X-XSS-Protection“头的处理方法
热门推荐
weixin_42715225的博客
09-12 1万+
前言 xss攻击会导致网站的低危漏洞,需要进行防护 漏洞呈现 解决 方法一: PHP配置设置 在Header.php文件中添加如下内容: ··· … … header( “X-XSS-Protection: 1” ); … … ··· 方法二: nginx配置设置 ... ... server { ... ... add_header X-XSS-Protection 1; ... ... 结语 … … ...
web 网络安全知识
最新发布
瓦罗兰特顶级C位的博客
02-28 958
前言:公司最近严抓网安,使用安全工具扫描项目发现了一下一些关于网安的问题
检测到目标X-XSS-Protection响应头缺失
lxyoucan的博客
07-15 3869
HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。X-XSS-Protection响应头的缺失使得目标URL更易遭受跨站脚本攻击。
appscan安全漏洞修复
12-21
本篇文章将详细探讨AppScan扫描出的五类常见安全漏洞,并提供相应的修复策略。 1. 不充分账户封锁:当系统对失败的登录尝试或恶意活动的响应不足时,可能会导致不充分的账户封锁。修复此问题的关键在于实施严格的...
AppScan安全测试漏洞检测工具10.4版本
12-25
**AppScan安全测试漏洞检测工具10.4版本详解** IBM AppScan是一款广泛使用的安全测试工具,主要用于检测Web应用程序中的安全漏洞。它以其强大的扫描功能和全面的安全评估能力,在IT行业中备受推崇。AppScan 10.4...
javaWeb安全验证漏洞修复总结.doc
11-29
为了检测和修复 SQL 注入和盲注漏洞,可以使用 APPSCAN 等安全扫描工具对应用程序进行扫描和检测。这些工具可以检测到潜在的漏洞,并提供修复建议。 应用程序解决方案 为了避免 SQL 注入和盲注漏洞,开发者需要...
IBM Appscan爆高危漏洞 广大用户需及时修复
10-23
总之,IBM AppScan的这个高危漏洞揭示了即使是最受信任的安全工具也可能存在的安全隐患。用户和开发者都需要时刻保持警惕,采取积极的防护措施,以应对不断演变的网络安全威胁。及时的补丁应用、严格的软件安全控制...
安全检测及分析神器——AppScan10.0版本 window版本
06-28
AppScan 10.0版本是专为Windows操作系统设计的,它集成了先进的技术来帮助开发者、安全专家和企业识别并修复Web应用程序中的安全漏洞。 首先,AppScan的核心功能之一是Web漏洞扫描。它能够自动扫描Web应用程序,...
基于Appscan扫描漏洞修复方案
weixin_46659330的博客
07-20 4018
基于Appscan扫描发现的漏洞,以及风险分析,解决方案
记一次安全漏洞处理过程 Appscan漏扫问题
qq_38599266的博客
12-20 523
我使用的是nginx-0.18版本,升级成最新的稳定版0.24版,漏扫通过。解决办法:我使用的是nginx服务器,在nginx.conf文件的server里面配置如下内容,有的内容按自己项目实际情况配置。漏洞2 : Content-Security-Policy 响应头缺失或具有不安全策略,项目上线之前,经运维部门漏扫网址发现很多安全漏洞,这里分享一下这些漏洞的解决办法。到“X-Content-Type-Options”响应头缺失或具有不安全值,漏洞5. 返回不必要的响应头信息。至此,各种漏洞完美解决!
appScan扫描漏洞修复
阳光
08-15 2736
5、对于 PHP 中间件的使用者,可通过修改 php.ini 文件来实现如果关闭与开启错误信息,关闭错误显示后,php函数执行错误的信息将不会再显示给用户,这样能在一定程度上防止攻击者从错误信息得知脚本的物理位置,以及一些其它有用的信息,起码给攻击者的黑箱检测造成一定的障碍。如果不需要外部访问,请完全除去此头。2、对于常用的jsp语言开发的网站,可在业务流程中,加入异常捕获过程中预定义的错误编码,将异常输出到错误日志中,并在前台页面返回相应的错误编码,以便应用系统运维人员进行异常排查。
网络安全学习笔记——CDN漏洞
just do it
11-14 984
CDN是基于显示网络的智能虚拟网络,依靠广布的边缘服务器,通过中心平台的负载均衡,内容发布,资源调度等功能,使用户就近获取所需内容并提高响应速度和命中率。在做Web渗透测试的时候,直接攻击CDN只是攻击的网站数据的缓存,而绕过CDN可以使我们直接获取到服务器的真实IP地址,从而更好地进行安全测试。
子资源完整性SRI简介
凌晨港口
05-11 1142
子资源完整性 Subresource Integrity 简称 SRI 是一种安全机制。是允许浏览器检查其获得的资源(例如从 CDN 获得的)是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。
web安全测试之appscan – “X-XSS-Protection”头缺失或不安全 - 猿码设计师
Programming
06-06 3554
web安全测试之appscan – “X-XSS-Protection”头缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-test3Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含X-XSS-Protection请求头header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感
asp.net里面用appscan扫描部分漏洞与解决方法(一)
chenhaoying的专栏
08-16 3711
1、sql注入攻击 使用参数方法录入,过滤单引号。 2、已解密登录请求 AppScan要求密码都要加密传输,最好是使用https。这个问题还可以使用ajax来触发帐号验证并登录, function login() {             if ($("#txtUser").val() != '' && $("#txtPassWord").val() != '') {
AppScan漏洞风险处理
qq_32590535的博客
06-19 2693
文章主要记录了一些由IBM Security AppScan Standard扫描的漏洞以及对应的修复方案,主要的应用技术架构为java的springboot单体

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值