欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

2个漏洞X-Frame-Options和Cookie without Secure flag

程序员文章站 2022-07-15 13:50:39
...
2.1Clickjacking:X-Frame-Options header missing
漏洞级别:低危
受影响的站点:

序号 受影响站点 截图
2 https://bpo.elite-club.net.cn/gmacsaic-bpo

漏洞危害:
未设置X-Frame-Options,可导致点击劫持漏洞,使得攻击者结合其他漏洞篡改网站页面后,用户点击时会在不知情的情况下请求其他服务,造成信息泄露或其他有害于用户的问题。
修复建议:
设置 X-Frame-Options参数为SAMEORIGIN或者Deny,或者设置ALLOW-FROM参数。
操作:
java代码:
response.addHeader("x-frame-options","SAMEORIGIN");
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN

2.2Cookie without Secure flag set
漏洞级别:低危
受影响的站点:

序号 受影响站点 截图
1 https://bpo.elite-club.net.cn/gmacsaic-bpo


漏洞危害:
未设置Cookie的Secure值,导致其值在http协议下也能上传到服务器,可能被。与其他漏洞等结合,可导致访问控制失效。
修复建议:
设置 Cookie的Secure值为yes。
操作
Web.xml:
<session-config>
     <cookie-config>
       <http-only>true</http-only>
       <secure>true</secure> <!- 意思是必须使用https发送cooker。注意:设置此值必须使用https,否则http不会发送cookkie -->
     </cookie-config>
   </session-config>