Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1250313
  • 博文数量: 220
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1769
  • 用 户 组: 普通用户
  • 注册时间: 2015-03-13 16:19
个人简介

努力, 努力, 再努力

文章分类

全部博文(220)

文章存档

2018年(8)

2017年(46)

2016年(75)

2015年(92)

我的朋友

分类: 系统运维

2017-03-31 17:51:13

引用:

常用漏洞解决办法:

1. Cookie without HttpOnly flag set

漏洞危害:httponly设置为true则只能通过http操纵cookie,这样防止了javascript等脚本语言对cookie做修改,帮助我们有效的防止XSS攻击.

PHP环境解决:PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中
session.cookie_httponly = 1
设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性

2. Cookie without Secure flag set

开启可能导致应用不正常
在php.ini中
session.cookie_secure = 1
如果开启则表明你的cookie只有通过HTTPS协议传输时才起作用。

3. OPTIONS method is enabled
参考:

解决方法:apache

在配置文件中添加Location容器 

# vim /usr/local/apache2/conf/httpd.conf

     Order allow,deny
        Deny from all  
第一步:修改应用程序的文件的协议

Xml代码  
  
  


第二步:在应用程序的中添加如下的代码即可

Xml代码  
    
     
      /*  
      PUT  
DELETE  
HEAD  
OPTIONS  
TRACE  
     
     
     
   
   
   BASIC  
   

重新部署程序,重启tomcat即可完成 

如果用户要验证既可以将POST和GET也添加在其中,重新部署并启动tomcat即可看到效果 

以上的代码添加到某一个应用中,也可以添加到tomcat的中,区别是添加到某一个应用只对某一个应用有效如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。


4. TRACE method is enabled

在配置文件httpd.conf中添加如下三行
TraceEnable off
ServerSignature Off
ServerTokens Prod


5 . Clickjacking: X-Frame-Options header missing

参考:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options
危害:

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否, 或者

6. SlowHTTPDenialofServiceAttack漏洞解决办法
解决方法:找到tomacat下的文件server.xml,找到如下信息
connectionTimeout="20000"   20000改成8000, 8秒

阅读(1109) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~