2个漏洞X-Frame-Options和Cookie without Secure flag

2.1Clickjacking:X-Frame-Options header missing
漏洞级别:低危
受影响的站点:

序号 受影响站点 截图
2 https://bpo.elite-club.net.cn/gmacsaic-bpo

漏洞危害:
未设置X-Frame-Options,可导致点击劫持漏洞,使得攻击者结合其他漏洞篡改网站页面后,用户点击时会在不知情的情况下请求其他服务,造成信息泄露或其他有害于用户的问题。
修复建议:
设置 X-Frame-Options参数为SAMEORIGIN或者Deny,或者设置ALLOW-FROM参数。
操作:
java代码:
response.addHeader("x-frame-options","SAMEORIGIN");
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN

2.2Cookie without Secure flag set
漏洞级别:低危
受影响的站点:

序号 受影响站点 截图
1 https://bpo.elite-club.net.cn/gmacsaic-bpo


漏洞危害:
未设置Cookie的Secure值,导致其值在http协议下也能上传到服务器,可能被。与其他漏洞等结合,可导致访问控制失效。
修复建议:
设置 Cookie的Secure值为yes。
操作
Web.xml:
<session-config>
     <cookie-config>
       <http-only>true</http-only>
       <secure>true</secure>
     </cookie-config>
   </session-config>

你可能感兴趣的:(2个漏洞X-Frame-Options和Cookie without Secure flag)