漏洞报告:使用 HTTP 动词篡改的认证旁路。漏洞描述:该问题是指不使用规范的访问方式也能返回页面内容。解决办法:如果使用基于HTTP方法的访问控制,配置web服务器以仅允许所需HTTP方法。也就是根据实际业务需求,屏蔽某些请求。比如屏蔽非GET、POST类型请求。实际操作如下:(1)如果是iis环境,在网站根目录新建web.config配置文件,...
漏洞报告:检测到目标网站Referrer-Policy响应头缺失。漏洞描述:Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面...
漏洞报告:检测到网站地图文件。漏洞描述:Sitemap.xml可方便网站管理员通知搜索引擎他们网站上有哪些可供抓取的网页。最简单的 Sitemap 形式,就是XML文件,在其中列出网站中的网址以及关于每个网址的其他元数据,以便搜索引擎可以更加智能地抓取网站。 攻击者通过网站地图文件可以获取到目标网站的部分文件名称、目录名称等网站相关信息,尤其是可以...
漏洞报告:点击劫持:X-Frame-Options未配置。漏洞描述:点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一...
漏洞报告:检测到目标网站Strict-Transport-Security响应头缺失。漏洞描述:Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效。 当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 头时,浏览器将持续使用...
漏洞报告:检测到目标网站X-Download-Options响应头缺失。漏洞描述:Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受...
漏洞报告:检测到目标网站X-Permitted-Cross-Domain-Policies响应头缺失。漏洞描述:Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效。当一些在线的 Web Flash 需要加载其他域的内容时,很多 Web 会通过设置一个...
漏洞报告:检测到目标网站URL存在电话号码泄露。漏洞描述:web应用程序响应中含有电话号码,可能被用于社会工程学攻击。解决办法:从 Web 站点中除去电话号码,使恶意的用户无从利用。验证方法:根据检测到目标URL存在电话号码泄露漏洞原理,通过从目标站点获取电话号码进行漏洞验证。
漏洞报告:检测到目标服务器上存在web应用默认目录。漏洞描述:web应用架构中的目录都采用常见的目录名。如图片目录images、javascript目录js,不同的目录潜在的危险是不同的。攻击者一般利用常见目录中可能包含的敏感文件获取敏感信息。 本漏洞属于Web应用安全常见漏洞。解决办法:(1)如果不需要这些目录,可以删除此类目录; (2)或者严格...
风险报告:检测到目标网站robots文件网站结构信息泄露。风险描述:robots文件位于网站根目录下,用于标识网站的某些资源是否允许爬虫工具访问。用Allow表示爬虫工具可访问的资源,用Disallow表示爬虫工具不应该访问的资源。 但同时该文件说明了目标网站存在的链接资源。 通过该文件,攻击者可以更容易的清楚目标网站目录结构,为展开其他攻击提供便...
您已成功复制微信号
leishi010
打开微信添加好友?
确定
