WEB安全扫描问题汇总

严重问题：

1、Tomcat版本过低

Tomcat5~8各个版本尽量使用最新的版本，新版已经修复了已经发现的漏洞。

2、SQL盲注

对于用户输入的参数进行过滤。

3、jQuery跨站脚本

 

4、Struts2开发模式

使用Spring MVC等其他框架，或升级Struts2版本

5、易受攻击的JavaScript库

更换jquery为最新的版本。

一般问题：

1、HTML表单没有CSRF保护

2、DoS攻击--HTTP Denial of Service Attack

3、用户得凭证信息以明文发送User credentials are sent in clear text

4、点击劫持Clickjacking: X-Frame-Options header missing

5、密码猜测攻击Login page password-guessing attack

6、敏感目录Possible sensitive directories

7、SESSION和Cookie未设置HttpOnly标识Session Cookie without HttpOnly flag set

8、未设置安全标识Session Cookie without Secure flag set

9、响应缓慢Slow response time

普通问题：

1、链接失效Broken links

2、未指定文档类型Content type is not specified

3、发现Email地址Email address found

页面不要出现完整的Email地址

4、IE浏览器XSS防护失效Internet Explorer XSS Protection disabled on this page

5、密码输入框启用自动匹配Password type input with auto-complete enabled

6、可能的用户名或密码泄露Possible username or password disclosure