2个漏洞X-Frame-Options和Cookie without Secure flag
程序员文章站
2022-07-15 13:50:39
...
2.1Clickjacking:X-Frame-Options header missing
漏洞级别:低危
受影响的站点:
序号 受影响站点 截图
2 https://bpo.elite-club.net.cn/gmacsaic-bpo
漏洞危害:
未设置X-Frame-Options,可导致点击劫持漏洞,使得攻击者结合其他漏洞篡改网站页面后,用户点击时会在不知情的情况下请求其他服务,造成信息泄露或其他有害于用户的问题。
修复建议:
设置 X-Frame-Options参数为SAMEORIGIN或者Deny,或者设置ALLOW-FROM参数。
操作:
java代码:
response.addHeader("x-frame-options","SAMEORIGIN");
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN
2.2Cookie without Secure flag set
漏洞级别:低危
受影响的站点:
序号 受影响站点 截图
1 https://bpo.elite-club.net.cn/gmacsaic-bpo
漏洞危害:
未设置Cookie的Secure值,导致其值在http协议下也能上传到服务器,可能被。与其他漏洞等结合,可导致访问控制失效。
修复建议:
设置 Cookie的Secure值为yes。
操作
Web.xml:
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure> <!- 意思是必须使用https发送cooker。注意:设置此值必须使用https,否则http不会发送cookkie -->
</cookie-config>
</session-config>
漏洞级别:低危
受影响的站点:
序号 受影响站点 截图
2 https://bpo.elite-club.net.cn/gmacsaic-bpo
漏洞危害:
未设置X-Frame-Options,可导致点击劫持漏洞,使得攻击者结合其他漏洞篡改网站页面后,用户点击时会在不知情的情况下请求其他服务,造成信息泄露或其他有害于用户的问题。
修复建议:
设置 X-Frame-Options参数为SAMEORIGIN或者Deny,或者设置ALLOW-FROM参数。
操作:
java代码:
response.addHeader("x-frame-options","SAMEORIGIN");
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN
2.2Cookie without Secure flag set
漏洞级别:低危
受影响的站点:
序号 受影响站点 截图
1 https://bpo.elite-club.net.cn/gmacsaic-bpo
漏洞危害:
未设置Cookie的Secure值,导致其值在http协议下也能上传到服务器,可能被。与其他漏洞等结合,可导致访问控制失效。
修复建议:
设置 Cookie的Secure值为yes。
操作
Web.xml:
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure> <!- 意思是必须使用https发送cooker。注意:设置此值必须使用https,否则http不会发送cookkie -->
</cookie-config>
</session-config>
下一篇: 某应用内存溢出(暨jvm)分析分享