最近WEB安全扫描问题汇总
2014-06-15 13:32
211 查看
严重问题:
1、Tomcat版本过低
Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。
2、SQL盲注
对于用户输入的参数进行过滤。
3、jQuery跨站脚本
升级jQuery,更换为最新版的jQuery
4、Struts2开发模式
使用Spring MVC等其他框架,或升级Struts2最新版本
5、易受攻击的JavaScript库
更换使用的JS库、或者修改相关的JS。
一般问题:
1、HTML表单没有CSRF保护
传到后台的表单数据都没过滤、没有进行URLEncode等
2、DoS攻击--HTTP Denial of Service Attack
3、用户得凭证信息以明文发送User credentials are sent in clear text
账号和密码直接这样送到后台的:name=aaa&password=123456。。。
4、点击劫持Clickjacking: X-Frame-Options header missing
5、密码猜测攻击Login page password-guessing attack
只做普通的MD5加密被证明已经不满足目前的安全要求了,因为有很多用户密码强度非常简单,1~6、6个1、等等,很容易被猜到。
6、敏感目录Possible sensitive directories
取到Tomcat部署目录。。。
7、SESSION和Cookie未设置HttpOnly标识Session Cookie without HttpOnly flag set
1、修改默认的sessionid生成方式,加个密?换成64位的?;
2、session设置httpOnly,F12看不到,HTTP工具也看不到?;
3、Cookie的设置,别跟我以前一样傻逼,cookie放的内容是:userName=xxx。。。加密都不做
8、未设置安全标识Session Cookie without Secure flag set
secure=true --- ?
9、响应缓慢Slow response time
1、上线前做性能优化页面要秒出,超过N秒就是BUG
2、AJAX设超时时间
普通问题:
1、链接失效Broken links
网页里加的外部链接,链接对应的内容可能已经删除、修改等原因,无法访问,点击后会报404等错误,用户体验差。上线前要检查外链!
2、未指定文档类型Content type is not specified
网页里没有doctype声明,对浏览器不友好?
3、发现Email地址Email address found
网页出现了完整的Email地址,例如:<a href="mailto:test@test.com">发邮件给我</a>,应该修改!
4、IE浏览器XSS防护失效Internet Explorer XSS Protection disabled on this page
IE浏览器有XSS防护选项
5、密码输入框启用自动匹配Password type input with auto-complete enabled
input的type为password的一般要哦加上autocomplete="off",关闭自动完
6、可能的用户名或密码泄露Possible username or password disclosure
1、Tomcat版本过低
Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。
2、SQL盲注
对于用户输入的参数进行过滤。
3、jQuery跨站脚本
升级jQuery,更换为最新版的jQuery
4、Struts2开发模式
使用Spring MVC等其他框架,或升级Struts2最新版本
5、易受攻击的JavaScript库
更换使用的JS库、或者修改相关的JS。
一般问题:
1、HTML表单没有CSRF保护
传到后台的表单数据都没过滤、没有进行URLEncode等
2、DoS攻击--HTTP Denial of Service Attack
3、用户得凭证信息以明文发送User credentials are sent in clear text
账号和密码直接这样送到后台的:name=aaa&password=123456。。。
4、点击劫持Clickjacking: X-Frame-Options header missing
5、密码猜测攻击Login page password-guessing attack
只做普通的MD5加密被证明已经不满足目前的安全要求了,因为有很多用户密码强度非常简单,1~6、6个1、等等,很容易被猜到。
6、敏感目录Possible sensitive directories
取到Tomcat部署目录。。。
7、SESSION和Cookie未设置HttpOnly标识Session Cookie without HttpOnly flag set
1、修改默认的sessionid生成方式,加个密?换成64位的?;
2、session设置httpOnly,F12看不到,HTTP工具也看不到?;
3、Cookie的设置,别跟我以前一样傻逼,cookie放的内容是:userName=xxx。。。加密都不做
8、未设置安全标识Session Cookie without Secure flag set
secure=true --- ?
9、响应缓慢Slow response time
1、上线前做性能优化页面要秒出,超过N秒就是BUG
2、AJAX设超时时间
普通问题:
1、链接失效Broken links
网页里加的外部链接,链接对应的内容可能已经删除、修改等原因,无法访问,点击后会报404等错误,用户体验差。上线前要检查外链!
2、未指定文档类型Content type is not specified
网页里没有doctype声明,对浏览器不友好?
3、发现Email地址Email address found
网页出现了完整的Email地址,例如:<a href="mailto:test@test.com">发邮件给我</a>,应该修改!
4、IE浏览器XSS防护失效Internet Explorer XSS Protection disabled on this page
IE浏览器有XSS防护选项
5、密码输入框启用自动匹配Password type input with auto-complete enabled
input的type为password的一般要哦加上autocomplete="off",关闭自动完
6、可能的用户名或密码泄露Possible username or password disclosure
相关文章推荐
- 最近WEB安全扫描问题汇总
- 最近WEB安全扫描问题汇总(网上找的,觉的挺详细的)
- web安全问题汇总
- web安全问题汇总
- web安全问题汇总
- web安全扫描问题(常见的)分析以及解决方式
- Web开发安全问题简单汇总
- CSS网页布局的兼容性问题 解决方法汇总(2) - CSS Web Design 我爱CSS
- 用ewebeditor的用户注意了,请检查安全问题
- Web安全开发问题小结
- ASP.NET安全问题-- 创建安全的Web应用程序
- WEB开发安全设置的若干个问题与症状的十万八千里
- 通过Web应用漏洞扫描工具加固Web应用程序的安全 ZT
- weblogic 的问题 汇总 web.xml次序问题
- Web 应用开发时应该考虑的安全问题
- 最近在配mysql和web分离的服务器时所出现的phpmyadmin无法连接远程数据库问题
- WEB完全性问题汇总
- 用ewebeditor的用户注意了,请检查安全问题
- 谈谈Web服务器在内网的安全问题
- [原创]OWASP TOP TEN 2007 10大Web应用程序安全问题