记录一下Security扫描的问题

最新推荐文章于 2024-08-16 11:16:00 发布
最新推荐文章于 2024-08-16 11:16:00 发布
阅读量3.6k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hxg117/article/details/81236190
版权
  1. Session Fixation
    SessionID 需要登陆后更新。
  2. Cookie Security: Cookie not Sent Over SSL
    Cookie 需要Secure标志。
  3. Cookie Security: Persistent Cookie
    Cookie 不能有expires,否则Cookie会被浏览器存储在磁盘上。
  4. Cache Management: Session Cookies
    添加cache-control:no-cache到HTTP响应头。否则代理会缓存cookie。
  5. Cookie Security: Overly Broad Session Cookie Domain
    去掉Cookie的domain设置,尤其不能设置成.xxx.com
  6. Cookie Security: HTTPOnly not Set
    Cookie 需要HTTPOnly标志。
  7. Web Server Misconfiguration: Server Error Message
    不能返回HTTP 404,500 等,均需要返回200,然后显示通用的错误页面
  8. Privacy Violation: Autocomplete
    尽管大多现代浏览器已经不支持Autocomplete,表单form最好还是需要添加autocomplete=false
  9. Cache Management: Insecure Policy
    添加cache-control:no-cache到HTTP响应头。
  10. Insecure Transport: HSTS not Set
    添加Strict-Transport-Security:max-age=31536000 到HTTP响应头。表示浏览器在1年之内所有HTTP请求均自动转换为HTTPS请求。
  11. 更新到最新的第三方库。
  12. CSRF,需要添加token
  13. 硬编码密码,使用管理员账号,没用的文件都需要删掉。
  14. Insecure Randomness. RSA 算法需要伪随机数生成器。暂时忽略这个。
Andy__Han
关注
[20][03][24] Cookie Security: Persistent Cookie
安全新司机
12-30 1353
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 在长期有效的 cookie 中存储敏感数据, 可能会导致机密性被破坏或帐户受到损害 2. 问题场景 大多数 Web 编程默认创建非持久 cookie, 这些 cookie 只驻留在浏览器内存中 (cookie 不会写入磁盘), 并在浏览器关闭时丢失,程序员可以指定 cookie 在浏览器会话之间被持久化, 直到某个未来的日期, 这样的 cookie 被写入磁盘, 并在浏览器会话和计算机重启时保存下来 如果私人信息被存储在长期有效的 cook
AppScan安全扫描记录遇到的一些问题
qq_41345150的博客
09-26 1977
AppScan安全扫描记录遇到的一些问题sql注入&跨站点脚本编制&通过框架钓鱼&链接注入(便于跨站请求伪造)缺少跨帧脚本编制防御 X-Frame-Options缺少“Content-Security-Policy”头缺少 HTTP Strict-Transport-Security 头缺少“X-Content-Type-Options”头缺少“X-XSS-Protecti...
apache证书不受信任_htmlunit 解决https证书不信任问题
weixin_39828956的博客
01-17 462
代码如下@TestpublicvoidtestHtmlUnit()throwsException{WebClientclient=newWebClient(BrowserVersion.CHROME);//client.getOptions().setUseInsecureSSL(true);HtmlPagepage=client.getPage("http...
5种导致“SSL证书不被信任”的原因
最新发布
weixin_53018687的博客
08-16 1243
对证书有了解的朋友应该都明白,SSL证书可以分为自签名证书和付费证书两种,自签名证书就是可以自己给自己颁发数字证书,同样可以实现网站的HTTPS化,然而这种证书成本较低,不受浏览器信任,因此在客户访问的时候,系统会发出不信任的告警提示。如果我们只安装了最终的域名证书,而没有安装中间证书导致证书链不完整,系统就无法回溯根证书的颁发机构,就会被系统判定为不可信任。,基本上很少是CA机构颁发的根证书,大部分都是二级证书,如果不配置中级CA,操作系统就无法确定SSL证书的真正颁发者是谁。
使用curl或wget连接网站的怎样忽略SSL证书错误
热门推荐
Linuxprobe18的博客
12-17 1万+
当我们使用 curl 命令访问网站的时候,有时候可能会得到一个 SSL 证书错误: 这是因为在默认情况下,cURL 使用 SSL 证书进行连接,如果指定的网站配置错误或证书过期,则会引发错误。 下面我们看一下如何忽略其中的 SSL 证书错误。使用 cURL 忽略 SSL 证书错误一般来说,直接忽略错误然后继续连接故障网站是不推荐的。但是如果你信任该网站,那就可以。 使用 curl 的时候,附带 --insecure 选项可以忽略 ssl 证书错误,如下代码: $ curl https://expired.b
常见codeDEX问题及处理方案
力挽狂澜的POWER
06-18 2568
Fortify工具介绍 Fortify静态代码分析器(SCA)通过以更少的工作量,更短的时间识别漏洞并保持代码质量,在帮助创建安全软件方面发挥着重要作用。Fortify SCA检测到其他静态测试技术无法比拟的广泛问题。Fortify软件安全研究组是一个全球团队,被业界公认为监控新兴威胁的顶级安全组织,他们的知识汇集到Fortify SCA(以及所有其他Fortify产品)中,因此组织可以掌握最新的威胁。 摘自官网:https://www.microfocus.com/en-us/products/sta
websecurity - Web Security Testing Framework 超级牛B扫描
12-07
Web Security Testing Framework(WSTF)是一个专门针对Web应用程序安全性的强大扫描工具,被誉为"超级牛B扫描器"。在当前数字化的时代,Web应用程序的安全性是至关重要的,因为它们经常成为黑客攻击的目标。WSTF...
锡箔安全-登录记录器。「Tinfoil Security - Login Recorder」-crx插件
03-09
您的下一个Tinfoil Security扫描将从模仿您上载的登录顺序开始。 请注意,Tinfoil Security致力于私密安全地处理您的敏感信息。 提交后,您的记录和API密钥将从系统中删除。 在Tinfoil的服务器上,您的录音使用与...
clone-guard-security-scanning:WordPress安全和合规性扫描插件
02-15
同时,日志记录有助于追踪历史扫描和修复情况。 6. **实时监控**:除了定期扫描,该插件可能还具备实时监控功能,一旦发现可疑活动或安全事件,立即通知用户。 7. **自动修复**:为了简化维护,部分安全问题可能...
高级java笔试题-Web-Security-Note:记录一些常见的Web安全站点
06-03
由于平常读过的文章以及遇到的比较好的开源项目都被渐渐遗忘了,所以利用这个项目来记录一下,以便查阅。 目录: CTF Online-Tools 漏洞环境 信息搜集 工具 面经 BypassWAF WEB安全 XSS CSP SSRF Sql注入 XXE 命令...
fortify修改方案
09-06
This workbook is intended to provide all necessary details and information for a developer to understand and remediate the different issues discovered during the project audit. The information contained in this workbook is targeted at project managers and developers.
webInspect SprinBoot2.x安全整改
u011311291的博客
12-13 4820
都是基于Springboot2.x整改 一.Insecure Transport: Weak SSL Cipher Insecure Transport: Weak SSL Cipher(11285) Insecure Transport: Weak SSL Protocol(11516) Insecure Transport: Weak SSL Protocol(11395) 需要进行两步操作:...
Cookie使用和安全
Adong的程序人生
12-17 655
Cookie简要介绍,安全使用cookie注意点
解决htmlunit里SSL一个异常
wl381043820的博客
08-24 6595
爬虫笔记
会话标识未更新
dnsservers的专栏
01-20 874
//进行处理会话标识未更新 //userUrl为登录url,若为登录url则进行会话更新 if(RequestURL.equals(userUrl)) { Enumeration e = httpRequest.getParameterNames();
security cookie
free2o的专栏
06-20 5709
     在微软的c/c++ 编译器中,增加了对于栈溢出进行检测的参数 “/GS”,在调试shellcode 的时候,发现vs2005 产生的code 和 vc6 产生的code 有些不同,才让我注意到这个问题。     写了这样的一个测试程序:     void foo(const char * datas)      {       char szbuf[32];     
Enlightn Security Checker:PHP依赖安全漏洞扫描工具
4. **Composer锁文件(composer.lock)**: 当项目使用Composer安装依赖时,会生成一个锁文件,它记录了每个依赖项的确切版本。这确保了无论在哪台机器上安装依赖,都能得到相同版本的库,有助于保持环境的一致性。 ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值