| 风险名称 | 点击劫持:X-Frame-Options响应头丢失 |
| 风险级别 | 中风险 |
| 风险描述 | 返回的响应头信息中没有包含x-frame-options头信息设置,点击劫持(ClickJacking)允许攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面; |
| 测试过程 | |
| 影响地址 | https://github.com/linshaosec |
| 加固建议 | 配置nginx发送X-Frame-Options响应头,把下面这行添加到’http’,‘server’或者’location’的配置中: add_header X-Frame-Options SAMEORIGIN; |
| 风险名称 | 缺少HTTP标头”Content-Security-Policy”(网页安全政策) |
| 风险级别 | 低风险 |
| 风险描述 | 内容安全策略没有通过元标记或标头声明,因此可以利用浏览器对从服务器接收到的内容的信任。恶意脚本由受害者的浏览器执行,因为浏览器信任内容的来源,即使不是原始地点的。 |
| 测试过程 | |
| 风险分析 | csp也是一种XSS解决方案,它可以通过配置来防止从外部加载资源,拒绝执行js等等,但错误的配置可能会引起网站功能异常 |
| 影响地址 | https://github.com/linshaosec |
| 加固建议 | 可通过中间件容器配置添加响应包头 可在页面内直接添加meta标记 |
| 风险名称 | TRACE方法启用 |
| 风险级别 | 中风险 |
| 风险描述 | TRACE方法是HTTP(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(XSS)攻击,这种攻击方式又称为跨站跟踪攻击(XST)。 |
| 测试过程 | |
| 影响地址 | https://github.com/linshaosec |
| 风险分析 | 即使网站对关键页面启用了HttpOnly头标记,攻击者也可以通过TRACE方法绕过进行XSS攻击,盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容 |
| 加固建议 | 关闭不安全的传输方法,推荐只使用POST、GET方法! |
| 风险名称 | 使用有漏洞的组件 |
| 风险级别 | 低风险 |
| 风险描述 | jQuery v1.12.4存在DOM型XSS |
| 测试过程 | |
| 影响地址 | https://github.com/linshaosec |
| 加固建议 | 升级jQuery为新版本 或者修改字段1.12.4为3.52.4迷惑攻击者和误导扫描器识别。 |
| 风险名称 | 缓慢的HTTP拒绝服务攻击 |
| 风险级别 | 中风险 |
| 风险描述 | 由于HTTP请求底层使用TCP网络连接进行会话,因此如果中间件对会话超时时间设置不合理,并且HTTP在发送请求的时候采用慢速发HTTP请求,就会导致占用一个HTTP连接会话。 |
| 测试过程 | |
| 影响地址 | https://github.com/linshaosec |
| 风险分析 | 如果发送大量慢速的HTTP包就会导致拒绝服务攻击DoS。 |
| 加固建议 | 限制HTTP头部传输的最大许可时间。超过指定时间HTTP Header还没有传输完成,直接判定源IP地址为慢速连接攻击,中断连接并加入黑名单。 |
