web漏洞修复

最新推荐文章于 2025-03-26 10:41:17 发布
最新推荐文章于 2025-03-26 10:41:17 发布
阅读量4.6k 收藏 14
点赞数 2
文章标签: 前端 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/q764535104/article/details/130971586
版权
文章介绍了五个关键的Nginx配置步骤来提升Web服务器的安全性:禁用TLS1.0/1.1,加强Cookie属性以防止篡改,设置X-Frame-Options防止点击劫持,启用HSTS确保HTTPS强制,以及限制不安全的HTTP方法。这些措施旨在保护网站免受多种网络安全威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞修复

1. TLS 1.0/1.1 已启用

漏洞信息:
TLS 1.0 不被认为是“强密码术”。

# nginx server块修改配置,将1.0,1.1改成1.2
ssl_protocols           TLSv1.2;

2. Cookie 具有缺失、不一致或矛盾属性

漏洞信息:
可能会导致cookie失效、被攻击、cookie与环境不兼容等

# nginx location块添加配置:
proxy_cookie_path / "/; httponly; secure; SameSite=Lax";

注:

  1. httponly:当 cookie 设置有 HttpOnly 标志时,它会命令浏览器该 cookie 只能由服务器访问,而不能由客户端脚本访问。
  2. secure:浏览器只会通过https发送cookie,保证加密性
  3. SameSite:限制第三方 Cookie
    3.1 Strict:完全禁止。
    3.2 Lax:禁止大部分,基本可以防止CSRF攻击
    3.3 None:关闭SameSite功能

3. 点击劫持:X-Frame-Options 报头缺失

漏洞信息:
诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制

# nginx server块添加配置:
add_header X-Frame-Options SAMEORIGIN;

注:

  1. DENY:表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。
  2. SAMEORIGIN:表示该页面可以在相同域名页面的frame中展示。
  3. ALLOW-FROM uri:表示该页面可以在指定来源的frame中展示。

4. 未实施 HTTP 严格传输安全 (HSTS)

漏洞信息:
Web 应用程序未实施 HTTP 严格传输安全 (HSTS),因为响应中缺少严格传输安全报头。

# nginx server块添加配置:
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

注:配置后,统一网站浏览器只要使用过https,下次http的请求就会强转成https,max-age为生效时长,且每次访问都会重新刷新。

5. 目标服务器启用了不安全HTTP方法

漏洞信息:
开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。
可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。

# nginx server块添加:(只允许get,head,post请求)
if ($request_method !~ ^(GET|HEAD|POST)$) {
    return 403;
}
风翼靓崽
关注
Django检测到会话cookie中缺少HttpOnly属性手工复现
骑上单车去旅行的博客
04-03 1567
会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。第一步:复制URL:http:192.168.43.219在浏览器打开,使用F12调试工具;第二步:选择Application,点击Cookies查看csrftoken的Value信息;第三步:选择Console,输入命令alert(document.cookie);
解决java后台登录前后cookie一致问题
08-31
本文主要介绍了java后台登录前后cookie一致的解决方案,具有很好的参考价值,需要的朋友一起来看下吧
Cookie 缺失secure漏洞修复
煜铭2011
06-27 1万+
0x00 漏洞背景 Cookie Secure,是设置COOKIE时,可以设置的一个属性,设置了这个属性后,只有在https访问时,浏览器才会发送该COOKIE。 浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络中有监控,可能被截获。 如果web应用网站全站是https的,可以设置cookie加上Secure属性,这样浏览器就只会在https访问时,发送cookie。 攻击者即使窃听网络,也无法获取用户明文cookie。 0x01 修复思路 设置cookie时,加入属性
Nginx 解决具有安全、正确缺少 SameSite 属性Cookie方案
最新发布
王小工小工历程
03-26 972
若后端已设置Cookie属性,Nginx的proxy_cookie_path会完全覆盖原有设置,而proxy_cookie_flags可增量修改‌18。proxy_cookie_flags仅支持Nginx 1.19.3及以上版本,低版本需改用proxy_cookie_path‌。当设置Secure属性SameSite=None时,必须部署有效的HTTPS证书,否则浏览器会拦截Cookie。注:生产环境修改前建议在测试环境验证,避免因配置错误导致会话异常‌。此配置会覆盖后端返回的Cookie属性‌。
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2346
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件PHP文件解决此漏洞
会话Cookie未设置Secure属性漏洞
my的博客
01-15 6362
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则会传递该信息,所以会被窃取到Cookie的具体内容。:如果在Cookie中设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
记录一个等保二的项目的漏洞处理
05-12 1万+
一、高危漏洞: 1、HTTP.sys remote code execution vulnerability(HTTP.sys 远程代码执行漏洞漏洞描述: HTTP 协议栈 (HTTP.sys) 中存在一个远程执行代码漏洞,该漏洞是由于 HTTP.sys 正确地分析特制 HTTP 请求而导致的。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Wind
WEB开发安全漏洞修复方案 (2).pdf
07-14
文档名称为"WEB开发安全漏洞修复方案",其主要关注的是在互联网开发中常见的安全问题以及对应的修复策略。本文档的目的是提供一个详尽的安全漏洞清单,并为每个问题提出具体的解决方案,以保护Web应用程序免受攻击。...
javaWeb安全验证漏洞修复总结
08-26
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意...同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
Web安全常见漏洞修复建议(详细版)-20211110
11-21
Web安全对于任何在线平台而言都是至关重要的,因为安全漏洞仅威胁到网站的完整性,还会危害用户信息和公司资产。随着网络攻击手段的断进化,识别和修复这些漏洞是维护网站安全的首要任务。针对当前互联网环境下...
Web应用常见漏洞修复方案
12-01
Web 应用常见漏洞修复方案 在 Web 应用程序中,安全漏洞是非常普遍的存在,而 SQL 注入攻击、跨站脚本攻击和跨站请求伪造是最常见的三种漏洞,本篇文章将详细介绍这三种漏洞的成因、危害和防护措施。 一、SQL 注入...
ngnix 漏洞修复文档
03-03
Nginx 漏洞修复文档 Nginx 是一种流行的开源 web 服务器软件,但如果配置当,可能会出现多种漏洞,影响网站的安全性。以下是 Nginx 漏洞修复文档的相关知识点: 1. X-Content-Type-Options 响应头缺失 X-...
Cookie 缺少 HttpOnly属性和x-frame-options 缺失问题
w2363075992的博客
05-21 2322
过滤器dofileter 方法中 添加HttpServletRequest req = (HttpServletRequest) request;HttpServletResponse res = (HttpServletResponse) response;res.addHeader("Set-Cookie", " Path=/;  HttpOnly");  //Cookie 缺少 HttpOn...
Tomcat Request Cookie 丢失问题
m0_74825699的博客
02-06 794
告警,告警后发到工作群中,但是相关开发人员告知自己能够正常访问,没有问题,因为正好周五,自己觉得偶发性肯定和并发相关,所以周末研究了下代码,发现和。生产环境偶尔(涉及到多线程处理)出现"前端传递`Cookie为空"的告警,导致前端请求丢失,出现请求失败问题。请求的类,包含了请求的所有详细信息。该类提供了许多方法来访问和操作请求的各个部分,例如请求头、请求参数、输入流等。方法),以清除上一次请求的状态,使其可以安全地用于下一个请求。【3】异常处理:在处理请求的过程中,如果发生异常,
AppScan扫描漏洞(中等):加密会话(SSL)Cookie 中缺少Secure属性
weixin_42249908的博客
05-31 2666
AppScan扫描漏洞(中等):加密会话(SSL)Cookie 中缺少Secure属性
【中危】启用了安全的TLS1.0、TLS1.1协议
热门推荐
天泽岁月
08-13 4万+
TLS1.0协议漏洞检测复现
漏洞修复启用了安全的TLS1.0、TLS1.1协议
heike_Ch的博客
05-09 1830
default_server中才能生效,且其他server块都会读取default_server中的配置。TLS 1.0和TLS1.1协议使用了脆弱的加密算法,存在重大安全漏洞,容易受到降级攻击的严重影响。表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议,注意此配置只能配置在http块者。启用对TLS 1.21.3的支持,并禁用对TLS 1.0和TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。
Web应用安全测试-防护功能缺失
06-14 1957
Cookie属性问题、会话重用、会话失效时间过长等各种防护功能缺失漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
安服小记·1-启用安全的TLS1.0协议
杳若的博客
07-23 7278
安服漏洞漫谈
"Web漏洞修复建议1.01 - 安全加固方案详解
WEB漏洞检测及修复方案是一个非常重要的安全措施,通过对网站存在的漏洞进行检测和修复,可以保护用户的信息安全,防止法分子利用漏洞进行攻击。在修复漏洞时,需要采取一些加固方案来保证修复的效果能够持久。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值