web安全掃描問題(常見的)分析以及解決方式
這是我上午掃描的一個網站
很多地方地方不懂 在網上查了
嚴重問題有Session fixtion,vulnerable javascript library..
1.什麽是session fixation攻擊
Session fixation有人翻譯成“Session完成攻擊”,實際上fixation是確知和確定的意思,在此是指Web服務的會話ID是確知不變的,攻擊者為受害著確定一個會話ID從而達到攻擊的目的。在維基百科中專門有個詞條
攻擊情景
原文中Alice是受害者,她使用的一個銀行網站http://unsafe/存在session fixation漏洞,Mallory是攻擊者,他想盜 竊Alice的銀行中的存款,而Alice會點擊Mallory發給她的網頁連接(原因可能是Alice認識Mallory,或者她自己的安全意識不強)。
攻擊情景1:最簡單:服務器接收任何會話ID
過程如下:
1.Mallory發現http://unsafe/接收任何會話ID,而且會話ID通過URL地址的查詢參數攜帶到服務器,服務器不做檢查
3.Alice被吸引了,點擊了 http://unsafe/?SID= I_WILL_KNOW_THE_SID,像往常一樣,輸入了自己的帳號和口令從而登錄到銀行網站。
4.因為服務器的會話ID不改變,現在Mallory點擊 http://unsafe/?SID= I_WILL_KNOW_THE_SID後,他就擁有了Alice的身份。可以為所欲為了。
過程如下:
1.Mallory訪問 http://unsafe/ 並獲得了一個會話ID(SID),例如服務器返回的形式是:Set-Cookie: SID=0D6441FEA4496C2
2.Mallory給Alice發了一個郵件:”我行推出了一項新服務,率先體驗請點擊:http://unsafe/?SID=0D6441FEA4496C2
3.Alice點擊並登錄了,後面發生的事與情景1相同
攻擊情景3:跨站cookie(cross-site cooking)
利用瀏覽器的漏洞,即使 http://good 很安全,但是,由於瀏覽器管理cookie的漏洞,使惡意網站 http://evil/ 能夠向瀏覽器發送 http://good 的cookie。過程如下:
1.Mallory給Alice發送一個郵件“有個有趣的網站:http://evil 很好玩,不妨試試”
2.Alice訪問了這個鏈接,這個網站將一個會話ID取值為I_WILL_KNOW_THE_SID 的 http://good/ 域的cookie設置到瀏覽器中。
3.Mallory又給Alice發了個郵件:“我行推出了一項新服務,率先體驗請點擊:http://good/”
4.如果Alice登錄了,Mallory就可以利用這個ID了
在javaEE中, 情景1應該是不可能的吧, 因為session的ID都是由服務器產生的
對於現在的瀏覽器,情景3估計也是不可能的吧.
只有情景2最靠譜, 先自己訪問下某網站,獲取自己的session ID,然後把這個sessionID拼接在網址後面發給別人訪問,只要那個人一登錄, 我們也就相當於登錄了
2.什麽是vulnerable javascript library
脆弱的javascrpts庫
這個我在網上也沒找到詳細的解釋
在我理解 這個的處理方法就是更換使用的JS庫、或者修改相關的js
中等問題有
1.HTML表單沒有CSRF保護
傳到後臺的表單數據都沒過濾、沒有進行URLEncode
2.DoS攻擊--HTTP Denial of Service Attack
3.用戶得憑證信息以明文發送User credentials are sent in clear text
賬號和密碼直接這樣送到後臺的:name=aaa&password=123456
低等問題
1.點擊劫持Clickjacking: X-Frame-Options header missing
2.密碼猜測攻擊Login page password-guessing attack
3.SESSION和Cookie未設置HttpOnly標識Session Cookie without HttpOnly flag set
修改默認的sessionid生成方式;
session設置httpOnly,F12看不到,HTTP工具能看到;
Cookie的設置,cookie放的內容是:userName=xxx。。。未作加密
4.敏感目錄Possible sensitive directories
取到Tomcat部署目錄
本文出自 “大李子” 博客,謝絕轉載!
web安全掃描問題(常見的)分析以及解決方式