AppScan安全扫描:常见header头安全问题处理

最新推荐文章于 2025-03-03 12:27:31 发布
置顶 最新推荐文章于 2025-03-03 12:27:31 发布
阅读量7.2k 收藏 14
点赞数 2
CC 4.0 BY-SA版权
分类专栏: AppScan安全扫描 文章标签: 安全扫描 AppScan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/niuch1029291561/article/details/86705141

1、nginx配置添加一下代码:

add_header X-Frame-Options 'SAMEORIGIN'; # 只允许本站用 frame 来嵌套
add_header X-XSS-Protection '1; mode=block'; # XSS 保护
add_header X-Content-Type-Options 'nosniff';#响应头可以禁用浏览器的类型猜测行为
add_header Strict-Transport-Security 'max-age=63072000;includeSubDomains';
 
配置如下:
location /cas/ {
			proxy_set_header Host $host;
			proxy_set_header X-Real-IP $remote_addr;
			proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
			proxy_set_header REMOTE-HOST $remote_addr;
			add_header X-Frame-Options 'SAMEORIGIN'; # 只允许本站用 frame 来嵌套
			add_header X-XSS-Protection '1; mode=block'; # XSS 保护
			add_header X-Content-Type-Options 'nosniff';#响应头可以禁用浏览器的类型猜测行为
			add_header Strict-Transport-Security 'max-age=63072000;includeSubDomains';
			proxy_pass http://serVer/cas/;
			proxy_redirect default;
		}

2、jsp中java代码

//<!-- 缺少跨帧脚本编制防御 X-Frame-Options -->
					response.setHeader("X-Frame-Options", "DENY");
					//<!-- 缺少“Content-Security-Policy”头 -->
					response.setHeader("Content-Security-Policy", "child-src http: https:");
					//<!-- 缺少 HTTP Strict-Transport-Security 头 -->
					response.setHeader("Strict-Transport-Security", "max-age=31536000;includeSubDomains");
					//<!-- 缺少“X-Content-Type-Options”头 -->
					response.setHeader("X-Content-Type-Options", "nosniff");
					response.setHeader("X-XSS-Protection", "1; mode=block");
					//<!-- 发现可高速缓存的 SSL -->
					response.setHeader("Cache-Control", "no-store");
					response.setHeader("Pragma", "no-cache");
					response.setDateHeader("Expires", 0);

3、jsp、html前端代码

<!-- 缺少跨帧脚本编制防御 X-Frame-Options
<meta http-equiv="X-Frame-Options" content="DENY" />
 -->
<!-- 缺少“Content-Security-Policy”头 -->
<meta http-equiv="Content-Security-Policy" content="child-src http: https:" />
<!-- 缺少 HTTP Strict-Transport-Security 头 -->
<meta http-equiv="Strict-Transport-Security" content="max-age=31536000;includeSubDomains" />
<!-- 缺少“X-Content-Type-Options”头 -->
<meta http-equiv="X-Content-Type-Options" content="nosniff" />
<!-- 缺少“X-XSS-Protection”头 -->
<meta http-equiv="X-XSS-Protection" content="1; mode=block" />
<!-- 发现可高速缓存的 SSL -->
<meta http-equiv="Pragma" content="no-cache" />
<meta http-equiv="Cache-Control" content="no-store" />
<meta http-equiv="Expires" content="0" />

 

 

 

 

【业务安全测试】常见安全测试工具调研信息
qq_42905388的博客
01-18 731
本人主要介绍常用的安全测试工具,偏向主观
webfuture:提示“Strict-Transport-Security未设置”漏洞的解决方法
最新发布
bbsh2099的博客
06-02 472
Web 服务器对于 HTTP 请求的响应中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效。当 Web 服务器的 HTTP 中包含 Strict-Transport-Security 时,浏览器将持续使用 HTTPS 来访问 Web 站点,可以用来对抗协议降级攻击和 Cookie 劫持攻击。修改we.config,给 HTTP 响应加上 Strict-Transport-Security。
安全测试学习】HTTP Header安全标志:协议级别的安全支持
aovenus的专栏-测试新时代(微信公众号:测试新时代)
10-18 1404
HTTP Header安全标志:协议级别的安全支持
IBM AppScan 安全扫描:Missing Content-Security-Policy ;X-Content-Type-Options ;X-XSS-Protection响应
崔向阳@李晓的博客
12-06 2万+
问题:IBM AppScan 安全扫描提示: 二问题解决: 1. X-XSS-Protection 目的 这个header主要是用来防止浏览器中的反射性xss。现在,只有IE,chrome和safari(webkit)支持这个header。 正确的设置 0 – 关闭对浏览器的xss防护 1 – 开启xss防护 1; mode=block – 开启...
AppScan安全扫描:CSRF 攻击 将可能干扰 CSRF 攻击的 HTTP 除去,并使用伪造的 URL 设置 Referer
爱兰河少
01-30 1817
如果一个网站是从其他网站点击后跳转过来,则会在当前的请求中带上Referer信息,该信息指示的是跳转前网页的地址信息,而AppScan安全扫描则会报CSRF 攻击;解决方法:通过拦截器,获取请求中的Referer信息,对Referer信息做过滤处理 1、拦截器信息 可用过csrf-ignore-uri配置白单信息,指定相应的URI信息不做拦截 package cn.com.zwjp.fr...
web安全测试之appscan – “X-XSS-Protection”缺失或不安全 - 猿码设计师
Programming
06-06 3754
web安全测试之appscan – “X-XSS-Protection”缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-test3Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含X-XSS-Protection请求header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感
接口测试-header部详解
Gina61的博客
12-14 1万+
一、什么是header header:标 (header) 是服务器以HTTP协议传HTML资料到浏览器前所送出的字串,在标与 HTML 文件之间尚需空一行分隔。 -----百度百科 header是发送请求时携带的部信息。通常一些鉴权的信息:authentication/cookie、响应的数据格式:content-type等等的设置。当然响应的数据也会返回一些部信息。 二、header部参数对应含义 1、Request header: User-Agent:告诉Http服务器,客户端使用的操作系
Web安全概述:常见的Web攻击和防御策略
# 1. Web安全简介 ## 1.1 什么是Web安全? Web安全是指保护Web应用和Web服务器免受各种恶意攻击和非法访问的一系列措施和技术。它涵盖了在设计、开发、部署和...## 1.3 常见的Web安全威胁 - 跨站脚本攻击 (XSS):
appscan扫描卡
03-08
### AppScan 扫描过程中的问题及解决方案 #### 验证码及其他干扰因素处理 在使用AppScan进行测试时,可能会遇到一些常见的障碍,比如验证码的存在会阻碍自动化流程。对于这类情况,建议先将涉及验证码的部分暂时...
深入探讨Java Web安全机制:如何防御常见的网络攻击,保护你的应用
本文系统探讨了Java Web应用的安全基础及常见网络攻击的防御技术。章节围绕XSS、CSRF和SQL注入攻击展开,详细阐述了攻击的原理、分类和防御难点,并提供了实践中的防御措施,如输入验证、HTTP安全设置、CSRF令牌...
web安全技术
01-31
在這樣的網站設計與架設的概念下,如果該網站之 網頁存取權限或實體的資料夾檔案權限控管不當, 攻擊者只要猜測或使用工具取得該網站內資料夾或 檔案文件名稱,便可從Internet下載存放於該網站 (資料夾)內本屬不應公開的文件或資料庫。
AppScan用户手册
03-11
在手册中,用户可以了解到如何安装和配置AppScan,如何扫描应用程序以发现潜在的安全问题,以及如何解读扫描结果和生成安全报告。 IBM AppScan Standard Edition是一个针对应用程序安全测试的基础版本,它可以针对...
AppScan安全检测工具,检测出的问题解决
yangye1225的博客
12-29 8315
一、跨站点脚本请求编制 二、跨站点请求伪造 三、HTTP动词篡改的认证旁路
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
【绿盟】检测到目标Strict-Transport-Security响应缺失
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测到目标URL存在客户端(JavaScript)Cookie引用 检测到目标Strict-Transport-Security响应缺失 检测到目标Referrer-Policy响应缺失 检测到目标X-Permitted-Cross-Domain-Policies响应缺失 检测到目标X-Download-Options响应缺失 点击劫持:X-Frame-Options未配置 ..
检测到目标Strict-Transport-Security响应缺失
qq_43893277的博客
03-03 474
检测到目标Strict-Transport-Security响应缺失。
JAVA-添加HTTP响应预防XXS攻击
有点儿文绉绉的小赖的博客
03-22 2604
http响应缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预防
java怎么增加跨帧脚本编制_转载:Web安全 之 X-Frame-Options响应配置
weixin_42360977的博客
02-27 562
项目检测时,安全报告中存在 “X-Frame-Options” 响应缺失问题,显示可能会造成跨帧脚本编制攻击,如下:经过查询发现:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exam...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值