日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
這些Bug你遇到過幾個?盤點10個常見安全測試漏洞及修復(fù)建議

 隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,業(yè)務(wù)的開展方式更加靈活,應(yīng)用系統(tǒng)更加復(fù)雜,也因此面臨著更多的安全性挑戰(zhàn)。安全測試是在應(yīng)用系統(tǒng)投產(chǎn)發(fā)布之前,驗證應(yīng)用系統(tǒng)的安全性并識別潛在安全缺陷的過程,目的是防范安全風(fēng)險,滿足保密性、完整性、可用性等要求。

日常測試過程中經(jīng)常遇到開發(fā)同事來詢問一些常見的配置型漏洞應(yīng)該如何去修復(fù),為了幫助開發(fā)同事快速識別并解決問題,通過總結(jié)項目的安全測試工作經(jīng)驗,筆者匯總、分析了應(yīng)用系統(tǒng)的一些常見配置型漏洞并給出相應(yīng)的修復(fù)建議,在這里給大家進(jìn)行簡單的分享。

一、Cookie缺少HttpOnly屬性

漏洞描述

Cookie中的HttpOnly屬性值規(guī)定了Cookie是否可以通過客戶端腳本進(jìn)行訪問,能起到保護(hù)Cookie安全的作用,如果在Cookie中沒有將HttpOnly屬性設(shè)置為true,那么攻擊者就可以通過程序(JS腳本、Applet等)竊取用戶Cookie信息,增加攻擊者的跨站腳本攻擊威脅。竊取的Cookie中可能包含標(biāo)識用戶的敏感信息,如ASP.NET會話標(biāo)識等,攻擊者借助竊取的Cookie達(dá)到偽裝用戶身份或獲取敏感信息的目的,進(jìn)行跨站腳本攻擊等。

修復(fù)建議

向所有會話Cookie中添加"HttpOnly"屬性。

1)Java語言示例:

 
 
 
 
    
  
  
  
  
  1. HttpServletResponse response2 = (HttpServletResponse)response;
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. response2.setHeader( "Set-Cookie", "name=value; HttpOnly");
    4.

2)C#語言示例:

 
 
 
 
    
  
  
  
  
  1. HttpCookie myCookie = new HttpCookie("myCookie");
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. myCookie.HttpOnly = true;
    4. 
  
  
  
  
  4. 
  
  
  
  
  5. Response.AppendCookie(myCookie);
    6.

3)VB.NET語言示例:

 
 
 
 
    
  
  
  
  
  1. Dim myCookie As HttpCookie = new HttpCookie("myCookie")
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. myCookie.HttpOnly = True
    4. 
  
  
  
  
  4. 
  
  
  
  
  5. Response.AppendCookie(myCookie)
    6.

二、加密會話(SSL)Cookie缺少secure屬性

漏洞描述

對于敏感業(yè)務(wù),如登錄、轉(zhuǎn)賬、支付等,需要使用HTTPS來保證傳輸安全性,如果會話Cookie缺少secure屬性,Web應(yīng)用程序通過SSL向服務(wù)器端發(fā)送不安全的Cookie,可能會導(dǎo)致發(fā)送到服務(wù)器的Cookie被非HTTPS頁面獲取,造成用戶Cookie信息的泄露。如果啟用了secure屬性,瀏覽器將僅在HTTPS請求中向服務(wù)端發(fā)送cookie內(nèi)容。

修復(fù)建議

向所有敏感的Cookie添加"secure"屬性。

1)服務(wù)器配置為HTTPS SSL方式;

2)Servlet 3.0環(huán)境下對web.xml文件進(jìn)行如下配置:

 
 
 
 
    
  
  
  
  
  1. true
    2.

3)ASP.NET中對Web.config進(jìn)行如下配置:

php.ini中進(jìn)行如下配置:

 
 
 
 
    
  
  
  
  
  1. session.cookie_secure = True
    2.

或者

 
 
 
 
    
  
  
  
  
  1. void session_set_cookie_params ( int $lifetime [, string $path [, string $domain [, bool $secure= false [, bool $HttpOnly= false ]]]] )
    2.

或者

 
 
 
 
    
  
  
  
  
  1. bool setcookie ( string $name [, string $value? [, int $expire= 0 [, string $path [, string $domain [, bool $secure= false [, bool $HttpOnly= false ]]]]]] )
    2.

在weblogic中進(jìn)行如下配置:

 
 
 
 
    
  
  
  
  
  1. true
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. true
    4.

三、缺少"Content-Security-Policy"頭

漏洞描述

因Web應(yīng)用程序編程或配置不安全,導(dǎo)致HTTP響應(yīng)缺少"Content-Security-Policy"頭,可能產(chǎn)生跨站腳本攻擊等隱患,可能會收集有關(guān)Web應(yīng)用程序的敏感信息,如用戶名、密碼、卡號或敏感文件位置等。

修復(fù)建議

將服務(wù)器配置為使用安全策略的"Content-Security-Policy"頭。

在web.config 配置文件中添加如下HTTP響應(yīng)頭:

 
 
 
 
    
  
  
  
  
    2. 
  
  
  
  
  2. 
  
  
  
  
  3.     ?
    4. 
  
  
  
  
  4. 
  
  
  
  
  5.       
    6. 
  
  
  
  
  6. 
  
  
  
  
  7.   
    8. 
  
  
  
  
  8. 
  
  
  
  
  9.       
    10. 
  
  
  
  
  10. 
  
  
  
  
  11.     
    12. 
  
  
  
  
  12. 
  
  
  
  
  13.   
    14.

使用meta標(biāo)簽:

 
 
 
 
    
  
  
  
  
    2.

四、缺少"X-Content-Type-Options"頭

漏洞描述

因Web應(yīng)用程序編程或配置不安全,導(dǎo)致缺少"Content-Security-Policy"頭,可能產(chǎn)生偷渡式下載攻擊等隱患。

修復(fù)建議

將服務(wù)器配置為使用值為"nosniff"的"X-Content-Type-Options"頭。

在web.config 配置文件中添加如下響應(yīng)頭:

 
 
 
 
    
  
  
  
  
    2.

使用meta標(biāo)簽

 
 
 
 
    
  
  
  
  
    2.

五、缺少"X-XSS-Protection"頭

漏洞描述

因Web應(yīng)用程序編程或配置不安全,導(dǎo)致缺少"Content-Security-Policy"頭,可能產(chǎn)生跨站腳本攻擊等隱患。

修復(fù)建議

將服務(wù)器配置為使用值為"1"(已啟用)的"X-XSS-Protection"頭。

1)在web.config 配置文件中添加如下響應(yīng)頭:

 
 
 
 
    
  
  
  
  
    2.

使用meta標(biāo)簽

 
 
 
 
    
  
  
  
  
    2.

六、缺少"HTTP Strict-Transport-Security"頭

漏洞描述

因Web應(yīng)用程序編程或配置不安全,導(dǎo)致缺少 HTTP Strict-Transport-Security 頭。為了用戶體驗,有些網(wǎng)站允許使用HTTPS和HTTP訪問,當(dāng)用戶使用HTTP訪問時,網(wǎng)站會返回給用戶一個302重定向到HTTPS地址,后續(xù)訪問都使用HTTPS協(xié)議傳輸,但這個302重定向地址可能會被劫持篡改,被改成一個惡意的或者釣魚HTTPS站點,導(dǎo)致敏感信息如用戶名、密碼、卡號或敏感文件位置泄露等風(fēng)險。

修復(fù)建議

通過向 web 應(yīng)用程序響應(yīng)添加"Strict-Transport-Security"響應(yīng)頭來實施 HTTP 嚴(yán)格傳輸安全策略,或?qū)嵤┚哂凶銐蜷L"max-age"的 HTTP Strict-Transport-Security 策略,強(qiáng)制客戶端(如瀏覽器)使用HTTPS與服務(wù)器創(chuàng)建連接。

七、容易出現(xiàn)點擊劫持(Clickjacking)

漏洞描述

頁面未能設(shè)置適當(dāng)?shù)腦-Frame-Options或Content-Security-Policy HTTP頭,則攻擊者控制的頁面可能將其加載到iframe中,導(dǎo)致點擊劫持攻擊,此類攻擊屬于一種視覺欺騙手段,主要實現(xiàn)方式有兩種:一是攻擊者將一個透明的iframe覆蓋在一個網(wǎng)頁上,誘使用戶在該頁面上進(jìn)行操作,那么用戶就在不知情的情況下點擊透明的iframe頁面;二是攻擊者使用一張圖片覆蓋在網(wǎng)頁,遮擋網(wǎng)頁原有位置的含義。

修復(fù)建議

應(yīng)用程序應(yīng)該返回名稱為X-Frame-Options、值DENY以完全防止成幀的響應(yīng)頭,或者返回值SAMEORIGIN以允許僅通過與響應(yīng)本身相同的來源上的頁進(jìn)行成幀,或者通過ALLOW-FROM origin設(shè)置白名單來限制允許加載的頁面地址。

1)修改中間件配置:

a)IIS:

web.config 配置文件中添加如下響應(yīng)頭:

 
 
 
 
    
  
  
  
  
    2.

b)Apache:

 
 
 
 
    
  
  
  
  
  1. Header always append X-Frame-Options SAMEORIGIN
    2.

c)Nginx:

 
 
 
 
    
  
  
  
  
  1. add_header X-Frame-Options SAMEORIGIN;
    2.

使用meta標(biāo)簽

 
 
 
 
    
  
  
  
  
    2.

八、啟用了不安全的HTTP方法

漏洞描述

Web服務(wù)器或應(yīng)用服務(wù)器以不安全的方式進(jìn)行配置,導(dǎo)致啟用了WebDAV和不安全的HTTP方法,不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY等,可能會造成攻擊者在Web服務(wù)器上上傳、修改或刪除Web頁面、腳本和文件的隱患。

修復(fù)建議

禁用WebDAV。禁止不需要的HTTP方法(建議只使用GET和POST方法)。

1)Apache:

使用Apache的重寫規(guī)則來禁用Options方法和Trace方法。在Apache配置文件httpd-conf中【vhosts-conf】添加以下代碼:

#單獨禁用Trace方法:

 
 
 
 
    
  
  
  
  
  1. RewriteEngine On
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
    4. 
  
  
  
  
  4. 
  
  
  
  
  5. RewriteRule .* - [F]
    6.

單獨禁用Options方法:

 
 
 
 
    
  
  
  
  
  1. RewriteEngine On
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
    4. 
  
  
  
  
  4. 
  
  
  
  
  5. RewriteRule .* - [F]
    6.

同時禁用Trace方法和Options方法:

 
 
 
 
    
  
  
  
  
  1. RewriteEngine On
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
    4. 
  
  
  
  
  4. 
  
  
  
  
  5. RewriteRule .* - [F]
    6. 
  
  
  
  
  6. 
  
  
  
  
  7. DocumentRoot "D:\wwwroot"
    8. 
  
  
  
  
  8. 
  
  
  
  
  9. ServerName www.abc.com
    10. 
  
  
  
  
  10. 
  
  
  
  
  11. ServerAlias abc.com
    12. 
  
  
  
  
  12. 
  
  
  
  
  13. 
  
  
  
  
  14. Options FollowSymLinks ExecCGI
    15. 
  
  
  
  
  15. 
  
  
  
  
  16. AllowOverride All
    17. 
  
  
  
  
  17. 
  
  
  
  
  18. Order allow,deny
    19. 
  
  
  
  
  19. 
  
  
  
  
  20. Allow from all
    21. 
  
  
  
  
  21. 
  
  
  
  
  22. Require all granted
    23. 
  
  
  
  
  23. 
  
  
  
  
  24. RewriteEngine on
    25. 
  
  
  
  
  25. 
  
  
  
  
  26. RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
    27. 
  
  
  
  
  27. 
  
  
  
  
  28. RewriteRule .* - [F]
    29.

2)Nginx:

在server段里加入下面代碼:

 
 
 
 
    
  
  
  
  
  1. if ($request_method !~* GET|POST) {
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. return 403;
    4. 
  
  
  
  
  4. 
  
  
  
  
  5. }
    6.

重啟Nginx,就可以屏蔽GET、POST之外的HTTP方法。

3)Tomcat:

修改web.xml配置文件。

 
 
 
 
    
  
  
  
  
    2. 
  
  
  
  
  2. 
  
  
  
  
  3.    
    4. 
  
  
  
  
  4. 
  
  
  
  
  5.    /*
    6. 
  
  
  
  
  6. 
  
  
  
  
  7.    PUT
    8. 
  
  
  
  
  8. 
  
  
  
  
  9.    DELETE
    10. 
  
  
  
  
  10. 
  
  
  
  
  11.    HEAD
    12. 
  
  
  
  
  12. 
  
  
  
  
  13.    OPTIONS
    14. 
  
  
  
  
  14. 
  
  
  
  
  15.    TRACE
    16. 
  
  
  
  
  16. 
  
  
  
  
  17.    
    18. 
  
  
  
  
  18. 
  
  
  
  
  19.    
    20. 
  
  
  
  
  20. 
  
  
  
  
  21.    
    22. 
  
  
  
  
  22. 
  
  
  
  
  23.   
    24.

4)IIS:

a)禁用WebDAV功能;

b)在web.config的【configuration】下添加如下代碼:

 
 
 
 
    
  
  
  
  
  1.   
    2. 
  
  
  
  
  2. 
  
  
  
  
  3.   
    4. 
  
  
  
  
  4. 
  
  
  
  
  5.   
    6. 
  
  
  
  
  6. 
  
  
  
  
  7.   
    8. 
  
  
  
  
  8. 
  
  
  
  
  9.   
    10. 
  
  
  
  
  10. 
  
  
  
  
  11.    
    12.

九、"X-Powered-By"字段泄露服務(wù)器信息

漏洞描述

因Web服務(wù)器、應(yīng)用服務(wù)器配置不安全,導(dǎo)致響應(yīng)報文的響應(yīng)頭中"X-Powered-By"字段泄露服務(wù)器信息,攻擊者可以通過獲取服務(wù)器版本信息,收集相關(guān)漏洞,進(jìn)行特定的攻擊。

修復(fù)建議

隱藏響應(yīng)頭中"X-Powered-By"字段。

1)IIS:

修改web.config配置文件。

 
 
 
 
    
  
  
  
  
    2. 
  
  
  
  
  2. 
  
  
  
  
  3.    
    4. 
  
  
  
  
  4. 
  
  
  
  
  5.    
    6. 
  
  
  
  
  6. 
  
  
  
  
  7.    
    8. 
  
  
  
  
  8. 
  
  
  
  
  9.    
    10. 
  
  
  
  
  10. 
  
  
  
  
  11.    
    12. 
  
  
  
  
  12. 
  
  
  
  
  13.    
    14. 
  
  
  
  
  14. 
  
  
  
  
  15.    
    16. 
  
  
  
  
  16. 
  
  
  
  
  17.    
    18. 
  
  
  
  
  18. 
  
  
  
  
  19.    
    20. 
  
  
  
  
  20. 
  
  
  
  
  21.   
    22.

2)Nginx:

需要加上proxy_hide_header。

 
 
 
 
    
  
  
  
  
  1. location / {
    2. 
  
  
  
  
  2. 
  
  
  
  
  3.    proxy_hide_header X-Powered-By;
    4. 
  
  
  
  
  4. 
  
  
  
  
  5.   }
    6.

3)WAS:

修改websphere相應(yīng)配置,將com.ibm.ws.webcontainer.disabledxPoweredBy配置更改為true。

十、"Server"字段泄露服務(wù)器信息

漏洞描述

因Web服務(wù)器、應(yīng)用服務(wù)器配置不安全,導(dǎo)致響應(yīng)報文的響應(yīng)頭中"Server"字段泄露服務(wù)器信息,攻擊者可以通過獲取服務(wù)器版本信息,收集相關(guān)漏洞,進(jìn)行特定的攻擊。

修復(fù)建議

隱藏HTTP響應(yīng)頭中"Server"字段,在web.config添加以下配置:

 
 
 
 
    
  
  
  
  
    2. 
  
  
  
  
  2. 
  
  
  
  
  3.   
    4. 
  
  
  
  
  4. 
  
  
  
  
  5.   
    6.

以上就是筆者在實際項目測試過程中經(jīng)常遇見的十類常見應(yīng)用配置型漏洞描述及針對常見中間件的修復(fù)建議,希望能夠幫助開發(fā)同事快速理解各類漏洞并找到對應(yīng)的修復(fù)方式!


文章題目:這些Bug你遇到過幾個?盤點10個常見安全測試漏洞及修復(fù)建議
路徑分享:http://www.5511xx.com/article/cciophg.html