日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，業(yè)務(wù)的開展方式更加靈活，應(yīng)用系統(tǒng)更加復(fù)雜，也因此面臨著更多的安全性挑戰(zhàn)。安全測試是在應(yīng)用系統(tǒng)投產(chǎn)發(fā)布之前，驗(yàn)證應(yīng)用系統(tǒng)的安全性并識別潛在安全缺陷的過程，目的是防范安全風(fēng)險(xiǎn)，滿足保密性、完整性、可用性等要求。

 

　　日常測試過程中經(jīng)常遇到開發(fā)同事來詢問一些常見的配置型漏洞應(yīng)該如何去修復(fù)，為了幫助開發(fā)同事快速識別并解決問題，通過總結(jié)項(xiàng)目的安全測試工作經(jīng)驗(yàn)，筆者匯總、分析了應(yīng)用系統(tǒng)的一些常見配置型漏洞并給出相應(yīng)的修復(fù)建議，在這里給大家進(jìn)行簡單的分享。

　　一、Cookie缺少HttpOnly屬性

　　漏洞描述

　　Cookie中的HttpOnly屬性值規(guī)定了Cookie是否可以通過客戶端腳本進(jìn)行訪問，能起到保護(hù)Cookie安全的作用，如果在Cookie中沒有將HttpOnly屬性設(shè)置為true，那么攻擊者就可以通過程序（JS腳本、Applet等）竊取用戶Cookie信息，增加攻擊者的跨站腳本攻擊威脅。竊取的Cookie中可能包含標(biāo)識用戶的敏感信息，如ASP.NET會話標(biāo)識等，攻擊者借助竊取的Cookie達(dá)到偽裝用戶身份或獲取敏感信息的目的，進(jìn)行跨站腳本攻擊等。

 

　　修復(fù)建議

　　向所有會話Cookie中添加"HttpOnly"屬性。

　　1）JAVA語言示例：

　　HttpServletResponse response2 = (HttpServletResponse)response;

　　response2.setHeader( "Set-Cookie", "name=value; HttpOnly");

　　2）C#語言示例：

　　HttpCookie myCookie = new HttpCookie("myCookie");

　　myCookie.HttpOnly = true;

　　Response.AppendCookie(myCookie);

　　3）VB.NET語言示例：

　　Dim myCookie As HttpCookie = new HttpCookie("myCookie")

　　myCookie.HttpOnly = True

　　Response.AppendCookie(myCookie)

　　二、加密會話（SSL）Cookie缺少secure屬性

　　漏洞描述

　　對于敏感業(yè)務(wù)，如登錄、轉(zhuǎn)賬、支付等，需要使用HTTPS來保證傳輸安全性，如果會話Cookie缺少secure屬性，Web應(yīng)用程序通過SSL向服務(wù)器端發(fā)送不安全的Cookie，可能會導(dǎo)致發(fā)送到服務(wù)器的Cookie被非HTTPS頁面獲取，造成用戶Cookie信息的泄露。如果啟用了secure屬性，瀏覽器將僅在HTTPS請求中向服務(wù)端發(fā)送cookie內(nèi)容。

 

　　修復(fù)建議

　　向所有敏感的Cookie添加"secure"屬性。

　　1）服務(wù)器配置為HTTPS SSL方式；

2）Servlet 3.0環(huán)境下對web.xml文件進(jìn)行如下配置：

<session-config>

　　　　 <cookie-config>

　　　　 <secure>true</secure>

　　　　 </cookie-config>

</session-config>

　　3）ASP.NET中對Web.config進(jìn)行如下配置：

　　<httpCookies requireSSL="true" />

php.ini中進(jìn)行如下配置：

　session.cookie_secure = True

　　或者

　　void session_set_cookie_params ( int $lifetime [, string $path [, string $domain [, bool $secure= false [, bool $HttpOnly= false ]]]] )

　　或者

　　bool setcookie ( string $name [, string $value? [, int $expire= 0 [, string $path [, string $domain [, bool $secure= false [, bool $HttpOnly= false ]]]]]] )

在weblogic中進(jìn)行如下配置：

　　<wls:session-descriptor>

　　 <wls:cookie-secure>true</wls:cookie-secure>

　　 <wls:cookie-http-only>true</wls:cookie-http-only>

　　</wls:session-descriptor>

　　三、缺少"Content-Security-Policy"頭

　　漏洞描述

　　因Web應(yīng)用程序編程或配置不安全，導(dǎo)致HTTP響應(yīng)缺少"Content-Security-Policy"頭，可能產(chǎn)生跨站腳本攻擊等隱患，可能會收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、卡號或敏感文件位置等。

 

　　修復(fù)建議

　　將服務(wù)器配置為使用安全策略的"Content-Security-Policy"頭。

在web.config 配置文件中添加如下HTTP響應(yīng)頭：

　<system.webServer>

　　　　<httpProtocol>?

　　　　　　<customHeaders>

　　<add name="Content-Security-Policy" value="default-src 'self';"/>

　　　　　　</customHeaders>

　　　　</httpProtocol>

　　</system.webServer>

使用meta標(biāo)簽：

　<meta http-equiv="Content-Security-Policy" content="default-src 'self'"/>

　　四、缺少"X-Content-Type-Options"頭

　　漏洞描述

　　因Web應(yīng)用程序編程或配置不安全，導(dǎo)致缺少"Content-Security-Policy"頭，可能產(chǎn)生偷渡式下載攻擊等隱患。

 

　　修復(fù)建議

　　將服務(wù)器配置為使用值為"nosniff"的"X-Content-Type-Options"頭。

在web.config 配置文件中添加如下響應(yīng)頭：

　　<add name="X-Content-Type-Options" value="nosniff"/>

使用meta標(biāo)簽

　　<meta http-equiv="X-Content-Type-Options" content="nosniff" />

　　五、缺少"X-XSS-Protection"頭

　　漏洞描述

　　因Web應(yīng)用程序編程或配置不安全，導(dǎo)致缺少"Content-Security-Policy"頭，可能產(chǎn)生跨站腳本攻擊等隱患。

 

　　修復(fù)建議

　　將服務(wù)器配置為使用值為"1"（已啟用）的"X-XSS-Protection"頭。

　　1）在web.config 配置文件中添加如下響應(yīng)頭：

　<add name="X-XSS-Protection" value="1;mode=block"/>

使用meta標(biāo)簽

　<meta http-equiv="X-XSS-Protection" content="1;mode=block" />

　　六、缺少"HTTP Strict-Transport-Security"頭

　　漏洞描述

　　因Web應(yīng)用程序編程或配置不安全，導(dǎo)致缺少 HTTP Strict-Transport-Security 頭。為了用戶體驗(yàn)，有些網(wǎng)站允許使用HTTPS和HTTP訪問，當(dāng)用戶使用HTTP訪問時(shí)，網(wǎng)站會返回給用戶一個(gè)302重定向到HTTPS地址，后續(xù)訪問都使用HTTPS協(xié)議傳輸，但這個(gè)302重定向地址可能會被劫持篡改，被改成一個(gè)惡意的或者釣魚HTTPS站點(diǎn)，導(dǎo)致敏感信息如用戶名、密碼、卡號或敏感文件位置泄露等風(fēng)險(xiǎn)。

 

　　修復(fù)建議

　　通過向 web 應(yīng)用程序響應(yīng)添加"Strict-Transport-Security"響應(yīng)頭來實(shí)施 HTTP 嚴(yán)格傳輸安全策略，或?qū)嵤┚哂凶銐蜷L"max-age"的 HTTP Strict-Transport-Security 策略，強(qiáng)制客戶端（如瀏覽器）使用HTTPS與服務(wù)器創(chuàng)建連接。

　　七、容易出現(xiàn)點(diǎn)擊劫持（Clickjacking）

　　漏洞描述

　　頁面未能設(shè)置適當(dāng)?shù)腦-Frame-Options或Content-Security-Policy HTTP頭，則攻擊者控制的頁面可能將其加載到iframe中，導(dǎo)致點(diǎn)擊劫持攻擊，此類攻擊屬于一種視覺欺騙手段，主要實(shí)現(xiàn)方式有兩種：一是攻擊者將一個(gè)透明的iframe覆蓋在一個(gè)網(wǎng)頁上，誘使用戶在該頁面上進(jìn)行操作，那么用戶就在不知情的情況下點(diǎn)擊透明的iframe頁面；二是攻擊者使用一張圖片覆蓋在網(wǎng)頁，遮擋網(wǎng)頁原有位置的含義。

 

　　修復(fù)建議

　　應(yīng)用程序應(yīng)該返回名稱為X-Frame-Options、值DENY以完全防止成幀的響應(yīng)頭，或者返回值SAMEORIGIN以允許僅通過與響應(yīng)本身相同的來源上的頁進(jìn)行成幀，或者通過ALLOW-FROM origin設(shè)置白名單來限制允許加載的頁面地址。

　　1）修改中間件配置：

　　a）IIS：

web.config 配置文件中添加如下響應(yīng)頭：

　<add name="X-Frame-Options" value="SAMEORIGIN"/>

　　b）Apache：

　　Header always append X-Frame-Options SAMEORIGIN

　　c）Nginx：

　　add_header X-Frame-Options SAMEORIGIN;

使用meta標(biāo)簽

　<meta http-equiv="X-Frame-Options" content="SAMEORIGIN" />

　　八、啟用了不安全的HTTP方法

　　漏洞描述

　　Web服務(wù)器或應(yīng)用服務(wù)器以不安全的方式進(jìn)行配置，導(dǎo)致啟用了WebDAV和不安全的HTTP方法，不安全的HTTP方法一般包括：TRACE、PUT、DELETE、COPY等，可能會造成攻擊者在Web服務(wù)器上上傳、修改或刪除Web頁面、腳本和文件的隱患。

 

　　修復(fù)建議

　　禁用WebDAV。禁止不需要的HTTP方法（建議只使用GET和POST方法）。

　　1）Apache：

使用Apache的重寫規(guī)則來禁用Options方法和Trace方法。在Apache配置文件httpd-conf中【vhosts-conf】添加以下代碼：

　　#單獨(dú)禁用Trace方法：

　　RewriteEngine On

　　RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK）

　　RewriteRule .* - [F]

　　單獨(dú)禁用Options方法：

　　RewriteEngine On

　　RewriteCond %{REQUEST_METHOD} ^(OPTIONS)

　　RewriteRule .* - [F]

　　同時(shí)禁用Trace方法和Options方法：

　　RewriteEngine On

　　RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

　　RewriteRule .* - [F]<VirtualHost *:80>

　　 DocumentRoot "D:wwwroot"

　　 ServerName www.abc.com

　　 ServerAlias abc.com

　　 <Directory "D:wwwroot">

　　 Options FollowSymLinks ExecCGI

　　 AllowOverride All

　　 Order allow,deny

　　 Allow from all

　　 Require all granted

　　 RewriteEngine on

　　 RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

　　 RewriteRule .* - [F]

　　 </Directory></VirtualHost>

　　2）Nginx：

在server段里加入下面代碼：

　if ($request_method !~* GET|POST) {

　　 return 403;

　　 }

　　重啟Nginx，就可以屏蔽GET、POST之外的HTTP方法。

　　3）Tomcat：

修改web.xml配置文件。

　　<security-constraint>

　　 <web-resource-collection>

　　 <url-pattern>/*</url-pattern>

　　 <http-method>PUT</http-method>

　　 <http-method>DELETE</http-method>

　　 <http-method>HEAD</http-method>

　　 <http-method>OPTIONS</http-method>

　　 <http-method>TRACE</http-method>

　　 </web-resource-collection>

　　 <auth-constraint>

　　 </auth-constraint>

　　</security-constraint>

　　4）IIS：

　　a)禁用WebDAV功能；

　　b)在web.config的【configuration】下添加如下代碼：

　　<system.webServer> <security> <requestFiltering>

　　<verbs allowUnlisted="false">

　　<add verb="GET" allowed="true"/>

　　<add verb="POST" allowed="true"/>

　　</verbs>

　　</requestFiltering> </security></system.webServer>

　　九、"X-Powered-By"字段泄露服務(wù)器信息

　　漏洞描述

　　因Web服務(wù)器、應(yīng)用服務(wù)器配置不安全，導(dǎo)致響應(yīng)報(bào)文的響應(yīng)頭中"X-Powered-By"字段泄露服務(wù)器信息，攻擊者可以通過獲取服務(wù)器版本信息，收集相關(guān)漏洞，進(jìn)行特定的攻擊。

 

　　修復(fù)建議

　　隱藏響應(yīng)頭中"X-Powered-By"字段。

　　1）IIS：

修改web.config配置文件。

　　<configuration>

　　 <location>

　　 <system.webServer>

　　 <httpProtocol>

　　 <customHeaders>

　　 <remove name="X-Powered-By" />

　　 </customHeaders>

　　 </httpProtocol>

　　 </system.webServer>

　　 </location>

　　</configuration>

　　2）Nginx：

需要加上proxy_hide_header。

　　location / {

　　 proxy_hide_header X-Powered-By;

　　}

　　3）WAS：

　　修改websphere相應(yīng)配置，將com.ibm.ws.webcontainer.disabledxPoweredBy配置更改為true。

　　十、"Server"字段泄露服務(wù)器信息

　　漏洞描述

　　因Web服務(wù)器、應(yīng)用服務(wù)器配置不安全，導(dǎo)致響應(yīng)報(bào)文的響應(yīng)頭中"Server"字段泄露服務(wù)器信息，攻擊者可以通過獲取服務(wù)器版本信息，收集相關(guān)漏洞，進(jìn)行特定的攻擊。

 

　　修復(fù)建議

隱藏HTTP響應(yīng)頭中"Server"字段，在web.config添加以下配置：

<system.webServer>

　　<modules>

　　<add name="CustomHeaderModule" type="StrongNamespace.HttpModules.CustomHeaderModule" />

　　以上就是筆者在實(shí)際項(xiàng)目測試過程中經(jīng)常遇見的十類常見應(yīng)用配置型漏洞描述及針對常見中間件的修復(fù)建議，希望能夠幫助開發(fā)同事快速理解各類漏洞并找到對應(yīng)的修復(fù)方式！