OWASP ZAP alerts

news/2024/11/16 13:29:44/

前提

使用OWASP ZAP对网站进行安全扫描,扫描后发现一些警告。
使用警告名称在百度进行搜索就能看到在OWASP ZAP网站上对应警告的解释。在这里插入图片描述
可以在如下地址输入alert查询
https://www.zaproxy.org/docs/alerts/
在这里插入图片描述

Missing Anti-clickjacking Header

见https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules/#anti-clickjacking-header
解释: If the X-Frame-Options header is missing from the response completely.
是指响应头缺少X-Frame-OPions
没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。
解决参考:https://blog.csdn.net/zzhongcy/article/details/124609116

Vulnerable JS Library

js库过期,建议升级

Timestamp Disclosure

见https://www.zaproxy.org/docs/alerts/10096/
解释:应用或者web服务器,泄露了时间戳。

X-Content-Type-Options Header Missing

https://blog.csdn.net/Hjupan/article/details/125136530
解释:通过设置”X-Content-Type-Options: nosniff”响应标头,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。

CSP: Wildcard Directive

https://www.zaproxy.org/docs/alerts/10055-4/
确保您的 Web 服务器、应用程序服务器、负载均衡器等。已正确配置为设置Content-Security-Policy header

CSP(Content Security Policy,内容安全策略)是一种Web安全策略,通过指定一系列的服务器规则和白名单来防止恶意脚本攻击或减少跨站脚本攻击的风险。CSP的关键思想是,建立一个白名单,规定哪些域名允许执行JavaScript、加载图片、使用iframe和其他资源。对于不在白名单上的域名,浏览器将停止加载相关资源,从而防止攻击者注入恶意代码。

CSP可以通过一些HTTP头部信息配置于服务器和网站之间的通信中,如Content-Security-PolicyX-Content-Security-PolicyX-WebKit-CSP等。CSP中可以规定的策略包括限制可执行的脚本、限制能够加载的资源类型(图片、样式表、字体等)、限制 iframe 的来源和 javaScript 的 eval() 中使用等等。CSP能够提高Web应用程序的安全性。

.htaccess Information Leak

Solution :Ensure the .htaccess file is not accessible.
.htaccess是一个Apache服务器配置文件,用于控制网站的访问权限、重定向、缓存设置、防止盗链和其他各种web服务器设置。该文件可以被放置在网站目录的根目录下或任何子目录中,通过使用一些规则和指令来修改服务器行为。.htaccess文件可以用文本编辑器编辑并放置在网站的根目录中,例如:public_html文件夹。在配置文件中,可以设置服务器参数、目录访问权限以及页面跳转等应用级别的处理规则。使用.htaccess文件可以简化Web服务器的管理,使得管理员能够实现更灵活的控制。

Cookie without SameSite Attribute

https://www.zaproxy.org/docs/alerts/10054/
确保所有 Cookie 的 SameSite 属性设置为“宽松”或理想情况下为“严格”。

SameSite是一项新的Cookie属性,它可以控制Cookie是否应该发送到跨站点请求中,以防止跨站点请求伪造(CSRF)攻击。SameSite属性可以设置为三个值:StrictLaxNone

  • Strict:如果设置为严格模式,则Cookie仅在同一站点上发送。因此,如果存在跨站点情况,则不允许Cookie发送。

  • Lax:如果设置为宽松模式,则Cookie可以在导航到目标网站之前通过GET方法发送。例如,当用户从站点A导航到站点B时,站点B将作为一个跨站点,但如果站点B导航是通过GET方法进行的,则可以发送Cookie

  • None:如果设置为无模式,则Cookie可以在所有请求中发送,并且响应必须设置一个Secure属性,以确保只有在HTTPS连接下访问网站时才能发送此类跨站Cookie

SameSite属性通常与Secure属性结合使用,以确保Cookie只在HTTPS连接下发送以及合适的SameSite设置。使用SameSite属性可以提高网站的安全性并防止恶意攻击。


http://www.ppmy.cn/news/102194.html

相关文章

《metasploit渗透测试魔鬼训练营》学习笔记第九章--meterpreter

《metasploit渗透测试魔鬼训练营》学习笔记第九章--meterpreter

七.强大的meterpreter 7.1再探metasploit的攻击载荷模块 7.1.1典型的攻击载荷模块 metasploit涵盖了各大主流操作系统和平台,其中绝大部分是远程漏洞利用所使用的攻击载荷模块,功能一般是开启远程shell,远程执行命令。 meta…
阅读更多...
微信小程序真机一键清空搜索框按钮失效的问题

微信小程序真机一键清空搜索框按钮失效的问题

今天开发的时候在真机上突然发现一个小问题,真机搜索完毕后点击删除按钮没办法一键清空搜索框内的内容,本来以为好解决,结果试了好几种方式都没有完美解决掉,最后经过多次尝试发现关闭弹出的小键盘就可以点到删除按钮,…
阅读更多...
mpi4py结合pytorch求解稀疏椭圆优化控制问题

mpi4py结合pytorch求解稀疏椭圆优化控制问题

稀疏椭圆优化控制问题 { min ⁡ y ( μ ) , u ( μ ) J
阅读更多...
【算法】滑动窗口

【算法】滑动窗口

文章目录 用滑动数组判断某个范围内是否有重复元素子数组中的最大平均数滑动窗口得到最大利润 用滑动数组判断某个范围内是否有重复元素 给你一个整数数组 nums 和一个整数 k ,判断数组中是否存在两个 不同的索引 i 和 j ,满足 nums[i] nums[j] 且 abs…
阅读更多...
Python大火,零基础还能学习么?

Python大火,零基础还能学习么?

Python近段时间一直涨势迅猛,在各大编程排行榜中崭露头角,得益于它多功能性和简单易上手的特性,让它可以在很多不同的工作中发挥重大作用。 正因如此,目前几乎所有大中型互联网企业都在使用 Python 完成各种各样的工作&#xff0…
阅读更多...
如何在手机和平板中浏览三维实景模型?

如何在手机和平板中浏览三维实景模型?

对于数据量庞大的三维实景模型,想要在手机和平板中进行在线浏览并实现实时交互,一般平台很难实现这些功能。 四维轻云是一款操作简单、支持在线协作、在线展示及在线分享的三维实景模型在线浏览平台。在四维轻云平台中,用户可以创建项目&…
阅读更多...
Buck环路响应伯德图Mathcad绘制

Buck环路响应伯德图Mathcad绘制

一直不理解环路响应,调试也是应用参考电路,虽然自动化的课程忘的差不多了,但也不是偷懒的借口,直到昨天看到可以用Mathcad计算BUCK电路工作在电压控制的CCM连续模式,这是基于开关平均法推导出的小信号传递函数模型。原…
阅读更多...
软件测试的一些关键点

软件测试的一些关键点

软件测试的一些关键点 随着互联网的快速发展,软件已经成为了我们生活和工作中不可或缺的一部分。在软件开发过程中,一项重要的工作就是软件测试。软件测试是指对软件产品或系统进行验证和验证的过程。在软件测试中,需要注意以下关键点。 首先…
阅读更多...
最新文章

Copyright @ 2022~2023