本文共 942 字,大约阅读时间需要 3 分钟。
分享一下修复项目漏洞步骤:
1.Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞
<shiro.version>1.6.0</shiro.version>
2.检测到目标站点存在javascript框架库漏洞
jquery-3.5.1.js
3.检测到目标主机可能存在缓慢的HTTP拒绝服务攻击
设置Tomcat / server.xml文件 connectiontimeout 值,默认为20000ms,修改为8000ms(Tomcat 自身安全漏洞)
4.Apache Shiro rememberMe参数秘钥可被枚举
<shiro.version>1.6.0</shiro.version>
5.检测到目标URL存在http host头攻击漏洞
6.检测到目标URL存在相对路径覆盖(RPO)漏洞
把所有调用css和js链接改为绝对路径或者URL即可
7.检测出目标web应用表单存在口令猜测攻击
解决思路:阻止客户端频繁提交验证请求,可以用验证码,多次密码错误锁账号等来实现
8.jQuery 存在 XSS 漏洞
jquery-3.5.1.js
9.检测到目标X-Content-Type-Options响应头缺失
<meta http-equiv="X-Content-Type-Options" content="nosniff" />
10.检测到错误页面web应用服务器版本信息泄露
建立错误机制,不要把真实的错误反馈给访问者
11.检测到目标X-XSS-Protection响应头缺失
12.检测到目标Content-Security-Policy响应头缺失
13.检测到目标web应用表单密码类型输入启用了自动完成操作
代码控制所有的登录部分的input的“autocomplete”属性为“off”
14.检测到目标服务器启用了OPTIONS方法
15.检测到目标网站存在无效链接
将无效链接从页面中删除。
16.点击劫持:X-Frame-Options未配置
17.检测到基于HTTP连接的登录请求
在提交登录请求数据前加密请求数据;建议使用HTTPS连接发送登录请求数据。
18.检测到目标URL启用了不安全的HTTP方法
转载地址:http://cupgf.baihongyu.com/