最近WEB安全扫描问题汇总

简介: 严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。

严重问题:

1、Tomcat版本过低

Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。

2、SQL盲注

对于用户输入的参数进行过滤。

3、jQuery跨站脚本

  升级jQuery,更换为最新版的jQuery

4、Struts2开发模式

使用Spring MVC等其他框架,或升级Struts2最新版本

5、易受攻击的JavaScript库

更换使用的JS库、或者修改相关的JS。

一般问题:

1、HTML表单没有CSRF保护

传到后台的表单数据都没过滤、没有进行URLEncode等

2、DoS攻击--HTTP Denial of Service Attack

3、用户得凭证信息以明文发送User credentials are sent in clear text

账号和密码直接这样送到后台的:name=aaa&password=123456。。。

4、点击劫持Clickjacking: X-Frame-Options header missing

5、密码猜测攻击Login page password-guessing attack

只做普通的MD5加密被证明已经不满足目前的安全要求了,因为有很多用户密码强度非常简单,1~6、6个1、等等,很容易被猜到。

6、敏感目录Possible sensitive directories

取到Tomcat部署目录。。。

7、SESSION和Cookie未设置HttpOnly标识Session Cookie without HttpOnly flag set

1、修改默认的sessionid生成方式,加个密?换成64位的?;

2、session设置httpOnly,F12看不到,HTTP工具也看不到?;

3、Cookie的设置,别跟我以前一样傻逼,cookie放的内容是:userName=xxx。。。加密都不做

8、未设置安全标识Session Cookie without Secure flag set

secure=true --- ?

9、响应缓慢Slow response time

1、上线前做性能优化页面要秒出,超过N秒就是BUG

2、AJAX设超时时间

普通问题:

1、链接失效Broken links

网页里加的外部链接,链接对应的内容可能已经删除、修改等原因,无法访问,点击后会报404等错误,用户体验差。上线前要检查外链!

2、未指定文档类型Content type is not specified

网页里没有doctype声明,对浏览器不友好?

3、发现Email地址Email address found

网页出现了完整的Email地址,例如:<a href="mailto:test@test.com">发邮件给我</a>,应该修改!

4、IE浏览器XSS防护失效Internet Explorer XSS Protection disabled on this page

IE浏览器有XSS防护选项

5、密码输入框启用自动匹配Password type input with auto-complete enabled

input的type为password的一般要哦加上autocomplete="off",关闭自动完

6、可能的用户名或密码泄露Possible username or password disclosure

目录
相关文章
|
2天前
|
缓存 安全 搜索推荐
阿里云先知安全沙龙(北京站) ——浅谈Web快速打点
信息收集是网络安全中的重要环节,常用工具如Hunter、Fofa和扫描工具可帮助全面了解目标系统的网络结构与潜在漏洞。遇到默认Nginx或Tomcat 404页面时,可通过扫路径、域名模糊测试、搜索引擎缓存等手段获取更多信息。AllIN工具(GitHub: P1-Team/AllIN)能高效扫描网站路径,发现敏感信息。漏洞利用则需充分准备,以应对突发情况,确保快速拿下目标站点。 简介:信息收集与漏洞利用是网络安全的两大关键步骤。通过多种工具和技术手段,安全人员可以全面了解目标系统,发现潜在漏洞,并制定有效的防御和攻击策略。
|
11天前
|
安全 应用服务中间件 网络安全
实战经验分享:利用免费SSL证书构建安全可靠的Web应用
本文分享了利用免费SSL证书构建安全Web应用的实战经验,涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性,增强用户信任。
|
1月前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
70 1
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
102 4
|
1月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
85 2
|
1月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
104 3
|
1月前
|
SQL 安全 Go
PHP在Web开发中的安全实践与防范措施###
【10月更文挑战第22天】 本文深入探讨了PHP在Web开发中面临的主要安全挑战,包括SQL注入、XSS攻击、CSRF攻击及文件包含漏洞等,并详细阐述了针对这些风险的有效防范策略。通过具体案例分析,揭示了安全编码的重要性,以及如何结合PHP特性与最佳实践来加固Web应用的安全性。全文旨在为开发者提供实用的安全指南,帮助构建更加安全可靠的PHP Web应用。 ###
46 1
|
2月前
|
Kubernetes 安全 应用服务中间件
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
58 3
|
2月前
|
缓存 安全 JavaScript
掌握JAMstack:构建更快、更安全的Web应用
JAMstack 是一种现代 Web 开发架构,结合 JavaScript、APIs 和 Markup,创建更快、更安全的 Web 应用。其核心优势包括高性能、安全性、可扩展性和易维护性。JAMstack 通过预构建静态页面和 API 实现高效渲染,利用静态站点生成器如 Gatsby 和 Next.js,并借助 CDN 和缓存策略提升全球访问速度。尽管面临复杂交互、SEO 和数据更新等挑战,但通过 Serverless Functions、预渲染和实时 API 更新等方案,这些挑战正逐步得到解决。
|
3月前
|
SQL 安全 数据库
惊!Python Web安全黑洞大曝光:SQL注入、XSS、CSRF,你中招了吗?
在数字化时代,Web应用的安全性至关重要。许多Python开发者在追求功能时,常忽视SQL注入、XSS和CSRF等安全威胁。本文将深入剖析这些风险并提供最佳实践:使用参数化查询预防SQL注入;通过HTML转义阻止XSS攻击;在表单中加入CSRF令牌增强安全性。遵循这些方法,可有效提升Web应用的安全防护水平,保护用户数据与隐私。安全需持续关注与改进,每个细节都至关重要。
143 5