OWASP ZAP alerts

news2024/11/25 20:35:11

前提

使用OWASP ZAP对网站进行安全扫描,扫描后发现一些警告。
使用警告名称在百度进行搜索就能看到在OWASP ZAP网站上对应警告的解释。在这里插入图片描述
可以在如下地址输入alert查询
https://www.zaproxy.org/docs/alerts/
在这里插入图片描述

Missing Anti-clickjacking Header

见https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules/#anti-clickjacking-header
解释: If the X-Frame-Options header is missing from the response completely.
是指响应头缺少X-Frame-OPions
没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。
解决参考:https://blog.csdn.net/zzhongcy/article/details/124609116

Vulnerable JS Library

js库过期,建议升级

Timestamp Disclosure

见https://www.zaproxy.org/docs/alerts/10096/
解释:应用或者web服务器,泄露了时间戳。

X-Content-Type-Options Header Missing

https://blog.csdn.net/Hjupan/article/details/125136530
解释:通过设置”X-Content-Type-Options: nosniff”响应标头,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。

CSP: Wildcard Directive

https://www.zaproxy.org/docs/alerts/10055-4/
确保您的 Web 服务器、应用程序服务器、负载均衡器等。已正确配置为设置Content-Security-Policy header

CSP(Content Security Policy,内容安全策略)是一种Web安全策略,通过指定一系列的服务器规则和白名单来防止恶意脚本攻击或减少跨站脚本攻击的风险。CSP的关键思想是,建立一个白名单,规定哪些域名允许执行JavaScript、加载图片、使用iframe和其他资源。对于不在白名单上的域名,浏览器将停止加载相关资源,从而防止攻击者注入恶意代码。

CSP可以通过一些HTTP头部信息配置于服务器和网站之间的通信中,如Content-Security-PolicyX-Content-Security-PolicyX-WebKit-CSP等。CSP中可以规定的策略包括限制可执行的脚本、限制能够加载的资源类型(图片、样式表、字体等)、限制 iframe 的来源和 javaScript 的 eval() 中使用等等。CSP能够提高Web应用程序的安全性。

.htaccess Information Leak

Solution :Ensure the .htaccess file is not accessible.
.htaccess是一个Apache服务器配置文件,用于控制网站的访问权限、重定向、缓存设置、防止盗链和其他各种web服务器设置。该文件可以被放置在网站目录的根目录下或任何子目录中,通过使用一些规则和指令来修改服务器行为。.htaccess文件可以用文本编辑器编辑并放置在网站的根目录中,例如:public_html文件夹。在配置文件中,可以设置服务器参数、目录访问权限以及页面跳转等应用级别的处理规则。使用.htaccess文件可以简化Web服务器的管理,使得管理员能够实现更灵活的控制。

Cookie without SameSite Attribute

https://www.zaproxy.org/docs/alerts/10054/
确保所有 Cookie 的 SameSite 属性设置为“宽松”或理想情况下为“严格”。

SameSite是一项新的Cookie属性,它可以控制Cookie是否应该发送到跨站点请求中,以防止跨站点请求伪造(CSRF)攻击。SameSite属性可以设置为三个值:StrictLaxNone

  • Strict:如果设置为严格模式,则Cookie仅在同一站点上发送。因此,如果存在跨站点情况,则不允许Cookie发送。

  • Lax:如果设置为宽松模式,则Cookie可以在导航到目标网站之前通过GET方法发送。例如,当用户从站点A导航到站点B时,站点B将作为一个跨站点,但如果站点B导航是通过GET方法进行的,则可以发送Cookie

  • None:如果设置为无模式,则Cookie可以在所有请求中发送,并且响应必须设置一个Secure属性,以确保只有在HTTPS连接下访问网站时才能发送此类跨站Cookie

SameSite属性通常与Secure属性结合使用,以确保Cookie只在HTTPS连接下发送以及合适的SameSite设置。使用SameSite属性可以提高网站的安全性并防止恶意攻击。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/584669.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SQL Server 2008R2安装图文教程(附SQL Server下载安装包)

SQL Server 2008R2 安装教程 演示系统:Windows server 2008R2 安装包:下载传送门 下载并解压安装包,找到解压的安装包,双击【setup.exe】 如果是你的服务器没有安装.NET Framework 3.5,那会弹出个提示框,…

CODEC 基础知识

 ASDOUT : ADC data output  DSDIN : DAC data input  LRCK : Left/Right data alignment clock  SCLK : Bit clock  MCLK 256 LRCK 或者 MCLK384 LRCK different audio data formats:  I2S …

公司新来了个拿18K出来的测试,让我见识到了什么叫真正的测试扛把子...

今天上班开早会就是新人见面仪式,听说来了个很厉害的大佬,年纪还不大,是上家公司离职过来的,薪资已经达到中高等水平,很多人都好奇不已,能拿到这个薪资应该人不简单,果然,自我介绍的…

如何编写快速高效的SQL查询(四)——优化特定类型的查询与样例

这一节,我们将介绍如何优化特定类型的查询。 本节介绍的多数优化技巧都和特定的版本有关,所以对于未来MySQL的版本未必适用。毫无疑问,某一天优化器自己也会实现这里列出的部分或者全部优化技巧。 优化COUNT()查询 COUNT()聚合函数&#xf…

Hive安装部署

1、Hive安装地址 ①Hive官网地址 Apache Hive ②文档查看地址 GettingStarted - Apache Hive - Apache Software Foundation ③下载地址 Index of /dist/hive ④github地址 GitHub - apache/hive: Apache Hive 2、 安装Hive 1)把apache-hive-3.1.3-bin.ta…

“AI换脸”诈骗背后,如何应对黑灰产使用手段?

目录 诈骗是如何发生的? AI换脸诈骗的操作防范 AI换脸的风险分析与技术防范 近日,警方通报了一起使用智能AI技术进行电信诈骗的案件。被骗者是福州市某科技公司法人代表郭先生,他通过微信视频接到自己好友的电话,对方佯装需要借…

帕累托改进和帕累托最优、卡尔多-希克斯改进

根据目标个数,分为单目标规划,以及多目标规划。多目标的规划是去找折中的解集合,既pareto最优解集合。对优化目标超过3个以上的,称之为超多目标优化问题。 帕累托改进描述的就是在没有人变得不好的前提下让有些人更好的过程。帕累…

GPT虚拟直播Demo系列(二)|无人直播间实现虚拟人回复粉丝

摘要 虚拟人和数字人是人工智能技术在现实生活中的具体应用,它们可以为人们的生活和工作带来便利和创新。在直播间场景里,虚拟人和数字人可用于直播主播、智能客服、营销推广等。接入GPT的虚拟人像是加了超强buff,具备更强大的自然语言处理能…

Postman 接口测试神器

Postman 接口测试神器 Postman 是一个接口测试和 http 请求的神器,非常好用。 官方 github 地址: Postman Inc. GitHub Postman 的优点: 支持各种的请求类型: get、post、put、patch、delete 等支持在线存储数据,通过账号就可以进行迁移…

HY-M5 三维机器视觉系统在工业自动化生产的应用

行业背景: 如今科学技术有了日新月异的变化,工业自动化也在不断地发展。然而,在高强度、高精准的工作环境下,人工操作已经不能适应企业的发展需求,于是机器人的出现便提供了高效快捷的解决方案。为了实现自动化生产并确…

AUTOSAR通信篇 - CAN网络通信(二:CanIf)

在上一篇,我们介绍了CAN模块,接下来我们介绍在CAN模块之上的模块Can Interface(CanIf)模块。在AUTOSAR软件架构中,CanIf也在BSW层,它处于CAN模块之上紧挨着CAN模块。CanIf是一个硬件独立层,具有…

【MySQL】如何实现单表查询?

在我们对数据进行操作时,查询无疑是至关重要的,查询操作灵活多变,我们可以根据开发的需求,设计高效的查询操作,把数据库中存储的数据展示给用户。 文章目录 前言1. 基础查询1.1 基础查询语法1.2 基础查询练习 2. 条件查…

算法与数据结构-复杂度分析(上)

文章目录 什么是大 O 复杂度表示法为什么要用大 O 复杂度表示法如何分析一段代码的时间复杂度1、只关注循环执行次数最多的一段代码2、加法法则:总复杂度等于量级最大的那段代码的复杂度3、乘法法则:嵌套代码的复杂度等于嵌套内外代码复杂度的乘积 几种常…

Unity老动画系统Animation

1、创建老动画系统 给要制作动画的GameObeject添加Animation组件 2、Animation参数 Animation:默认播放的动画 Animations:该动画组件可以控制的所有动画 Play AutoMatically:是否一开始就自动播放默认动画 Animate Physics:动画…

【JavaSE】Java基础语法(三十二):Stream流

文章目录 1. 体验Stream流2. Stream流的常见生成方式3. Stream流中间操作方法【应用】4. Stream流终结操作方法【应用】5. Stream流的收集操作 1. 体验Stream流 案例需求 按照下面的要求完成集合的创建和遍历 创建一个集合,存储多个字符串元素把集合中所有以"…

Python文件打包成exe文件

文章目录 背景安装pyinstaller开始打包总结 背景 今天因为在线将pdf转为word被收费了,有点不爽,所以自己动手撸一个pdf转word的小工具,想着打包成exe给朋友使用,万一哪天会用到呢? 安装pyinstaller 打开cmd命令窗口…

【AGC】云监控日志服务查询不到Logger日志相关问题

【关键字】 AGC、云监控、日志服务 【问题描述】 开发者反馈在使用AGC云监控,填写了Logger日志,但是在云监控的日志服务查不到的问题。具体如下所述: 云函数按要求写了Logger日志,但是在云监控的日志服务页面查询不到&#xff…

R语言混合效应(多水平/层次/嵌套)模型及 贝叶斯实现技术

回归分析是科学研究中十分重要的数据分析工具。随着现代统计技术发展,回归分析方法得到了极大改进。混合效应模型(Mixed effect model),即多水平模型(Multilevel model)/分层模型(Hierarchical Model)/嵌套…

【计算思维题】少儿编程 蓝桥杯青少组计算思维 数学逻辑思维真题详细解析第7套

少儿编程 蓝桥杯青少组计算思维 数学逻辑思维真题详细解析第7套 1、下图中,乐乐家的位置用数对(4,3)表示,学校在乐乐家西南方向。下列选项中,学校的位置不可能是 A、(5,4) B、(2,2) C、(2,1) D、(1,2) 答案:A 考点分析:主要考查小朋友们的观察能力和方…

springboot聚合项目程打包,提示包不存在

报错提示如下&#xff0c;这是子模块large_screen调用login_security模块时&#xff0c;找不到login_security的包&#xff0c;但是login_security能单独打包成功 项目结构&#xff0c;两个子模块可以启动 解决办法&#xff1a; 父pom,要用 <packaging>pom</packag…