2个漏洞X-Frame-Options和Cookie without Secure flag

最新推荐文章于 2024-05-31 09:42:54 发布
最新推荐文章于 2024-05-31 09:42:54 发布
阅读量4.4k 收藏 1
点赞数
分类专栏: 诺祺 文章标签: 运维 java python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xinglijun1973/article/details/84896248
版权
2.1Clickjacking:X-Frame-Options header missing
漏洞级别:低危
受影响的站点:

序号 受影响站点 截图
2 https://bpo.elite-club.net.cn/gmacsaic-bpo

漏洞危害:
未设置X-Frame-Options,可导致点击劫持漏洞,使得攻击者结合其他漏洞篡改网站页面后,用户点击时会在不知情的情况下请求其他服务,造成信息泄露或其他有害于用户的问题。
修复建议:
设置 X-Frame-Options参数为SAMEORIGIN或者Deny,或者设置ALLOW-FROM参数。
操作:
java代码:
response.addHeader("x-frame-options","SAMEORIGIN");
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN

2.2Cookie without Secure flag set
漏洞级别:低危
受影响的站点:

序号 受影响站点 截图
1 https://bpo.elite-club.net.cn/gmacsaic-bpo


漏洞危害:
未设置Cookie的Secure值,导致其值在http协议下也能上传到服务器,可能被。与其他漏洞等结合,可导致访问控制失效。
修复建议:
设置 Cookie的Secure值为yes。
操作
Web.xml:
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure> <!- 意思是必须使用https发送cooker。注意:设置此值必须使用https,否则http不会发送cookkie -->
</cookie-config>
</session-config>
xinglijun1973
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe src =" http://localhost:3000?url=https://example.com/ " > </ iframe > 演示版
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。
x-frame-bypass:绕过X帧选项
05-10
X帧绕过 绕过x-frame-options
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
X-Frame-Options头缺失漏洞 修复需要ClickjackFilter.jar ,引入esapi.jar(内含ClickjackFilter)即可。
session-cookie without secure flag set解决方案
weixin_34034261的博客
11-10 6504
扫出一个session-cookie without secure flag set这个漏洞,在web.xml里加<cookie-config><http-only>true</http-only> <secure>true</secure> </cookie-config>...
tomcat扫描漏洞:Cookie without HttpOnly flag set
oatmeal2015的博客
06-24 6417
今天收到一份项目bug的扫描漏洞: 然后搜索资料解决方法: 1 设置设置Tomcat 的web.xml中的session-config标签文件: <session-config> <session-timeout>30<session-timeout> <cookie-config> ...
常见web安全漏洞及修复建议
qq_27990381的博客
07-08 5910
WEB漏洞 高危漏洞 SQL Injection(SQL注入攻击) 漏洞描述 通过把SQL命令插入到Web表单递交或输入域名、页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令。 示例: 以输入用户名、密码进行登录校验为例,当程序中存在SQL拼接时,可能发生的SQL注入攻击 代码中使用拼接SQL,验证用户是否存在 JdbcConnection conn = new JdbcConnection(); // 拼接SQL,引起 SQL 注入 String sql = "select * fr
Kali Linux渗透测试 072 扫描工具-Nikto
xianjie0318的博客
08-07 1037
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 Nikto 简单使用 Nikto-interactive(交互方式) 设置使用 cookie 自动登录扫描 使用 LibWhisker 中对 IDS 的躲避技术 1. Nikto 简单使用 安装并更新 安装并更新官网:https://cir...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息,需要的朋友可以参考下
常见web漏洞(awvs、nessus)验证方法小记-低危漏洞
热门推荐
weixin_43875708的博客
03-12 1万+
文章目录1.【低危】未加密的连接(Unencrypted connection)漏洞描述漏洞危害漏洞证明修复建议2.【低危】SSL弱加密(主机漏洞漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie中缺少HttpOnly标志(Cookie(s) without HttpOnly flag set漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie中缺少secure属性(Cookie(s) wi...
适用于Java开发人员的微服务:安全测试和扫描
danpu0978的博客
05-01 1155
1.简介 本教程的这一部分专门讨论安全性测试,将围绕被证明在软件开发领域(包括微服务 )中无价的测试策略进行总结。 尽管软件项目中的安全性问题每天都变得越来越重要,但是令人惊讶的是有多少公司完全忽略了安全性实践。 每个月至少有一次您听到一个新的重大漏洞或数据泄露信息。 他们中的大多数人都可以在生产之前被阻止! 本教程这一部分的灵感主要来自开放Web应用程序安全性项目 (简称OWASP )...
点击劫持漏洞解决( Clickjacking: X-Frame-Options header missing)
oatmeal2015的博客
06-24 9646
点击劫持漏洞   X-Frame-Options HTTP 响应头, 可以指示浏览器是否应该加载一个 iframe 中的页面。 网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持 方法一:常见的比如使用js,判断顶层窗口跳转: 1 2 3 4 5 6 js 代码: (f...
记一次网安安全漏洞整改
weixin_30826095的博客
09-29 1416
这里网安使用的扫描软件是Acunetix,总共扫描出1个中等漏洞,2个低等漏洞,3个提示。 1.Medium,Vulnerable Javascript library易受攻击的javascript库 解决,升级到最新版本即可。 2.Low, OPTIONS method is enabled 允许options类型请求方式 解决方法:禁用不...
硬盘map
邢立军的技术专栏
08-21 211
/* * Copyright (c) 2011 Skyon Technology Ltd. * All rights reserved. * * project: java1 * create: May 12, 2011 4:04:03 PM * cvs: $Id: $ */ package skyon.util.map; import java.nio.ByteBuffer;...
南京银行的低版本jvm监控
邢立军的技术专栏
04-19 155
jdk1.5 Server VM (Client VM不支持)  才支持 使用图形工具比如 jmc,jconsole,jviualvm等工具,而且不支持jmc的飞行模式。 支持jmc的话,请给vm加参数: -Djava.rmi.server.hostname=《本机ip》-Dcom.sun.management.jmxremote-Dcom.sun.management.jmxremote...
诺祺skyon-webframe相关问题
邢立军的技术专栏
06-28 135
 form提交后的页面含有的js不执行(form提交后页面跳转问题) 可能原因为 form submit请求头的accept 为'text/html',不接受js。 办法是:内部js写在data-role="page"标签下。 在label.ftl中,不能将string类型转换为boolean类型 解决:考个freemarker.properties。支持strin...
学习整理 docker
最新发布
wonder_dog的博客
05-31 212
nexus。
X-Frame-Options缺失算漏洞
09-01
X-Frame-Options缺失并不算是一个漏洞,但它可能引发一些安全风险。X-Frame-Options是一个HTTP响应头,用于控制网页是否允许在iframe中显示。如果网页没有设置X-Frame-Options头,那么它可能会被其他网站通过iframe进行嵌入。 这可能导致点击劫持攻击(clickjacking),攻击者可以将恶意网页覆盖在目标网站上,并诱使用户在不知情的情况下执行恶意操作。因此,为了提高安全性,建议网页设置X-Frame-Options头,限制其在iframe中的显示。常见的选项有"DENY"(完全禁止在iframe中显示)和"SAMEORIGIN"(只允许在同源的页面中显示)。 总之,虽然X-Frame-Options缺失本身不是一个漏洞,但它可能导致点击劫持等安全问题。因此,在开发网页时,要确保适当地设置X-Frame-Options头,以防止潜在的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值