最近WEB安全扫描问题汇总(网上找的,觉的挺详细的)


严重问题:

1、Tomcat版本过低

Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。

2、SQL盲注

对于用户输入的参数进行过滤。

3、jQuery跨站脚本

  升级jQuery,更换为最新版的jQuery

4、Struts2开发模式

使用Spring MVC等其他框架,或升级Struts2最新版本

5、易受攻击的JavaScript库

更换使用的JS库、或者修改相关的JS。

一般问题:

1、HTML表单没有CSRF保护

传到后台的表单数据都没过滤、没有进行URLEncode等

2、DoS攻击--HTTP Denial of Service Attack

3、用户得凭证信息以明文发送User credentials are sent in clear text

账号和密码直接这样送到后台的:name=aaa&password=123456。。。

4、点击劫持Clickjacking: X-Frame-Options header missing

5、密码猜测攻击Login page password-guessing attack

只做普通的MD5加密被证明已经不满足目前的安全要求了,因为有很多用户密码强度非常简单,1~6、6个1、等等,很容易被猜到。

6、敏感目录Possible sensitive directories

取到Tomcat部署目录。。。

7、SESSION和Cookie未设置HttpOnly标识Session Cookie without HttpOnly flag set

1、修改默认的sessionid生成方式,加个密?换成64位的?;

2、session设置httpOnly,F12看不到,HTTP工具也看不到?;

3、Cookie的设置,别跟我以前一样傻逼,cookie放的内容是:userName=xxx。。。加密都不做

8、未设置安全标识Session Cookie without Secure flag set

secure=true --- ?

9、响应缓慢Slow response time

1、上线前做性能优化页面要秒出,超过N秒就是BUG

2、AJAX设超时时间

普通问题:

1、链接失效Broken links

网页里加的外部链接,链接对应的内容可能已经删除、修改等原因,无法访问,点击后会报404等错误,用户体验差。上线前要检查外链!

2、未指定文档类型Content type is not specified

网页里没有doctype声明,对浏览器不友好?

3、发现Email地址Email address found

网页出现了完整的Email地址,例如:<a href="mailto:[email protected]">发邮件给我</a>,应该修改!

4、IE浏览器XSS防护失效Internet Explorer XSS Protection disabled on this page

IE浏览器有XSS防护选项

5、密码输入框启用自动匹配Password type input with auto-complete enabled

input的type为password的一般要哦加上autocomplete="off",关闭自动完

6、可能的用户名或密码泄露Possible username or password disclosure


你可能感兴趣的:(觉的挺详细的))