网站低危漏洞通过伪静态功能处理方法

已于 2023-07-12 17:28:43 修改
阅读量224 收藏
点赞数
文章标签: 伪静态 网站安全 Windows主机 Linux主机
于 2023-07-12 17:28:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwwwestcn/article/details/131686769
版权

很多网站通过第三方平台扫描会出现很多低危漏洞,特别是使用绿盟进行安全检测经常会出现。Linux和虚拟主机都会有这个情况,可以通过伪静态的方式进行设置。

Windows主机

Windows主机需要在wwwroot目录下的web.config里面添加以下规则:

<?xml version="1.0" encoding="UTF-8"?>

<configuration>

    <system.webServer>

     <httpProtocol>

    <customHeaders>

<!--检测到目标X-Content-Type-Options响应头缺失-->

<add name="X-Content-Type-Options" value="nosniff" />

<!--检测到目标X-XSS-Protection响应头缺失-->

<add name="X-XSS-Protection" value="1;mode=block" />

<!--检测到目标Content-Security-Policy响应头缺失-->

<add name="Content-Security-Policy" value="default-src 'self'" />

<!--检测到目标Strict-Transport-Security响应头缺失-->

<add name="Strict-Transport-Security" value="max-age=31536000" />

<!--检测到目标Referrer-Policy响应头缺失-->

<add name="Referrer-Policy" value="origin-when-cross-origin" />

<!--检测到目标X-Permitted-Cross-Domain-Policies响应头缺失-->

<add name="X-Permitted-Cross-Domain-Policies" value="master-only" />

<!--检测到目标X-Download-Options响应头缺失-->

<add name="X-Download-Options" value="noopen" />

<!--点击劫持:X-Frame-Options未配置-->

<add name="X-Frame-Options" value="SAMEORIGIN" />

    </customHeaders>

</httpProtocol>

    </system.webServer>

</configuration>

请注意规则必须要添加的节点,如果添加错误会导致网站无法打开。

Linux主机

在wwwroot目录下的.htaccess中添加以下规则:

#检测到目标X-Content-Type-Options响应头缺失

Header set X-Content-Type-Options "nosniff"

#检测到目标X-XSS-Protection响应头缺失

Header set X-XSS-Protection "1; mode=block"

#检测到目标Strict-Transport-Security响应头缺失

Header set Strict-Transport-Security: "max-age=31536000 ; includeSubDomains ;"

#检测到目标Referrer-Policy响应头缺失

Header set Referrer-Policy: strict-origin-when-cross-origin

#检测到目标X-Permitted-Cross-Domain-Policies响应头缺失

Header set X-Permitted-Cross-Domain-Policies "master-only"

#检测到目标X-Download-Options响应头缺失

Header set X-Download-Options "noopen"

#点击劫持:X-Frame-Options未配置

Header set X-Frame-Options "SAMEORIGIN"

注意:无论windows还是Linux主机,添加规则即可生效不需要做其他设置。

原文链接:https://www.west.cn/faq/list.asp?unid=2502 

wwwwestcn
关注
服务器HTTP响应安全性优化与漏洞修复方案
Bertram的博客
08-09 415
服务器HTTP响应安全性优化与漏洞修复方案
检测到目标X-XSS-Protection响应缺失低危
战神/calmness的博客
08-31 5924
目录 简介 过程 建议 简介 HTTP X-XSS-Protection 响应是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。 过程 打开网页抓包流量查看流量包信息 建议 增加X-XSS-Protection配置情况进行漏洞验证 ...
漏洞扫描,解决缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”问题
hsc的博客
07-22 6881
缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”解决方法 用AppScan扫描网站,高危问题:缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”解决方式 解决方法 将下面内容添加到nginx.conf 文件http 结构下 # security headers add_header X-Frame-Options
检测到目标X-XSS-Protection响应缺失
lxyoucan的博客
07-15 4519
HTTP X-XSS-Protection 响应是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。X-XSS-Protection响应缺失使得目标URL更易遭受跨站脚本攻击。
【已解决】“X-Content-Type-Options”缺失或不安全
ZL_1618的博客
02-19 4174
是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在中,今天我们说下扫描结果中包含X-Content-Type-Options请求header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。
检测到目标Referrer-Policy响应缺失
lxyoucan的博客
07-14 4304
Web 服务器对于 HTTP 请求的响应中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。
关于nginx HTTP安全响应问题
最新发布
ZL_1618的博客
05-10 2286
一、背景二、http基本安全配置2.1 host攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应缺失2.5 Content-Security-Policy响应缺失2.6 Strict-Transport-Security响应缺失2.7 X-Permitted-Cross-Domain-Policies响应缺失2.8 Referrer-Policy响应缺失
Find-Sec-Bugs 漏洞范例
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
网安简历项目编写(都是例子)
03-15
- 伪静态文件上传漏洞: 例如在上传身份证时存在的漏洞。 - 万能密码登录漏洞: 某些网站可能存在万能密码漏洞。 - XSS漏洞: 网站问题反馈处可能存在的跨站脚本攻击漏洞。 **项目总结:** 整理渗透测试结果,并...
04 渗透测试基础
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1286
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
世界观安全
hacckjacking
08-06 672
「第二篇」客户端脚本安全 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...
【绿盟】检测到目标Strict-Transport-Security响应缺失
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测到目标URL存在客户端(JavaScript)Cookie引用 检测到目标Strict-Transport-Security响应缺失 检测到目标Referrer-Policy响应缺失 检测到目标X-Permitted-Cross-Domain-Policies响应缺失 检测到目标X-Download-Options响应缺失 点击劫持:X-Frame-Options未配置 ..
【绿盟】检测到目标Referrer-Policy响应缺失
naansun的博客
11-19 6891
问题展示: 项目进行安全扫描 遇到以下低危的风险需要处理~ 响应缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要修改后台服务的文件web.xml 在web.xml中新增一下内容 重启: <filter> <filter-name>httpHeaderSecurity</filter-name> <filte...
安全修复之Web——HTTP X-Content-Type-Options缺失
CN華少的博客
05-01 3628
安全修复之Web——HTTP X-Content-Type-Options缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:...
nginx 漏洞修复(二)
趴着的猫的博客
05-18 5050
1、HTTP Referrer-Policy 响应缺失 描述: Web 服务器对于 HTTP 请求的响应中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也成为了一个不安全的因素,所以就有了 Referrer-Policy,用于过滤 Referrer 报内容,其可选的项有:.
JAVA-添加HTTP响应预防XXS攻击
有点儿文绉绉的小赖的博客
03-22 2402
http响应缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预防
大聪明教你学Java | Spring Boot 项目设置 X-Content-Type-Options 响应
热门推荐
不肯过江东丶
03-04 2万+
大聪明开发的应用系统已经上线三年了,然而就在昨天依然被扫描出了一个漏洞 —— 远程 Web 系统应用程序不采取措施来减轻一类 Web 应用程序漏洞,说白了就是远程网络应用程序不设置 X-Content-Type 响应。刚看到扫描报告的时候还真有点麻爪,不知道如何下手,最后经过一番努力还是成功的修复了这个漏洞,那么借此机会,大聪明就和大家分享一下如何修复此类漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wwwwestcn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值