漏洞類(lèi)型漏洞描述修復(fù)建議開(kāi)啟options方法弱點(diǎn)描述:Web服務(wù)器配置為允許使用危險(xiǎn)的HTTP方法,如PUT、MOVE、COPY、DELETE、PROPFIND、SEARCH、MKCOL、LOCK、UNLOCK、PROPPATCH,該配置可能允許未授權(quán)的用戶(hù)對(duì)Web服務(wù)器進(jìn)行敏感操作。一般性的建議:[1]如果服務(wù)器不需要支持WebDAV請(qǐng)禁用WebDAV,或禁用掉不安全的HTTP方法,IIS在IIS服務(wù)中的\”Web服務(wù)擴(kuò)展\”中關(guān)閉WebDav。請(qǐng)問(wèn)下這個(gè)可否關(guān)閉?,如果服務(wù)器不需要支持WebDAV請(qǐng)禁用WebDAV,或禁用掉不安全的HTTP方法,IIS在IIS服務(wù)中的\”Web服務(wù)擴(kuò)展\”中關(guān)閉WebDav。
答:您好,您當(dāng)前賬號(hào)下有一個(gè)主機(jī),但主機(jī)是linux系統(tǒng),并非iis。禁用危險(xiǎn)方法可以參考:https://blog.mydns.vip/1304.html 請(qǐng)參考linux方法,非常感謝您長(zhǎng)期對(duì)我司的支持!
漏洞描述修復(fù)建議Html form表單沒(méi)有CSRF防護(hù)CSRF(Cross-site request forgery跨站請(qǐng)求偽造,也被稱(chēng)成為“one click attack”或者session riding,通常縮寫(xiě)為CSRF或者XSRF,是一種對(duì)網(wǎng)站的惡意利用。WebScan發(fā)現(xiàn)一個(gè)HTML表單沒(méi)有明顯的反CSRF保護(hù)。驗(yàn)證此表格是否需要防CSRF保護(hù),必要時(shí)實(shí)施CSRF對(duì)策。會(huì)話Cookie中缺少HttpOnly屬性弱點(diǎn)描述:在應(yīng)用程序測(cè)試過(guò)程中,檢測(cè)到所測(cè)試的Web應(yīng)用程序設(shè)置了不含“HttpOnly”屬性的會(huì)話cookie。由于此會(huì)話cookie不包含“HttpOnly”屬性,因此注入點(diǎn)的惡意腳本可能訪問(wèn)此cookie,并竊取它的值。任何存儲(chǔ)在會(huì)話令牌中的信息都可能被竊取,并在稍后用于身份盜竊或用戶(hù)偽裝。參考鏈接:https://www.owasp.org/index.php/HttpOnly一般性的建議:[1]基本上,cookie的唯一必需屬性是“name”字段,必須設(shè)置“HttpOnly”屬性,才能防止會(huì)話cookie被腳本訪問(wèn)。這個(gè)第二點(diǎn) 以前記得你們改過(guò),怎么公安又提出這個(gè)問(wèn)題了!你們以前在.htaccess 文件里面配置過(guò)此條
<IfModule mod_headers.c>Header set X-Frame-Options \”SAMEORIGIN\”Header always edit Set-Cookie (.*) \”$1; HTTPOnly\”</IfModule>
答:您好,在您web.config里面添加了這段移除WebDAV代碼,請(qǐng)?jiān)俸藢?shí),非常感謝您長(zhǎng)期對(duì)我司的支持!
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享網(wǎng)絡(luò)內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。郵箱:3140448839@qq.com。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明出處:
三五互聯(lián)知識(shí)庫(kù) »
如果服務(wù)器不需要支持WebDAV請(qǐng)禁用WebDAV,或禁用掉
