Pentest
碰瓷类型
X-Frame-Options
|
风险名称 |
点击劫持:X-Frame-Options响应头丢失 |
|
风险级别 |
中风险 |
|
风险描述 |
返回的响应头信息中没有包含x-frame-options头信息设置,点击劫持(ClickJacking)允许攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面; |
加固方法:
配置nginx发送X-Frame-Options响应头,把下面这行添加到’http’,‘server’或者’location’的配置中:
add_header X-Frame-Options SAMEORIGIN;
注意事项:需要查看的中间件有IIS、NGINX、APACHE。
CSP
|
风险名称 |
缺少HTTP标头”Content-Security-Policy”(网页安全政策) |
|
风险级别 |
低风险 |
|
风险描述 |
内容安全策略没有通过元标记或标头声明,因此可以利用浏览器对从服务器接收到的内容的信任。恶意脚本由受害者的浏览器执行,因为浏览器信任内容的来源,即使不是原始地点的。 |
风险分析:csp也是一种XSS解决方案,它可以通过配置来防止从外部加载资源,拒绝执行js等等,但错误的配置可能会引起网站功能异常。
加固建议:可通过中间件容器配置添加响应包头,可在页面内直接添加meta标记
缓慢的HTTP拒绝服务攻击
中风险
由于HTTP请求底层使用TCP网络连接进行会话,因此如果中间件对会话超时时间设置不合理,并且HTTP在发送请求的时候采用慢速发HTTP请求,就会导致占用一个HTTP连接会话。
风险分析:如果发送大量慢速的HTTP包就会导致拒绝服务攻击DoS。
加固:限制HTTP头部传输的最大许可时间。超过指定时间HTTP Header还没有传输完成,直接判定源IP地址为慢速连接攻击,中断连接并加入黑名单。
验证语句:
1. slowhttptest -c 65500 -B -i 10 -r 200 -s 8192 -t SLOWBODY -u https://xxxxxx
slowhttptest -c 1000 -X -g -o -slow_read_stats -r 200 -w 512 -y 1024
-n 5 -z 32 -k 3 -u http://www.example.com -p 3
如果service available为NO的话说明存在漏洞。
目标服务器启动了不安全的HTTP方法
低风险
目标服务器启用了不安全的传输方法,如PUT、TRACE、DELETE、MOVE等,这些方法表示可能在服务器上使用了 WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。
有利于攻击者搜集服务器信息,实施下一步攻击。
加固
1、关闭不安全的传输方法,推荐只使用POST、GET方法!
2、如果服务器不需要支持 WebDAV,请务必禁用它。
缺少secure标识 (NGINX)
低风险
会话cookie中缺少Secure标识会导致攻击者可以通过非HTTPS页面窃取到用户的cookie信息,造成用户cookie信息的泄露。设置附加的secure标识来提示浏览器只能通过Https(加密方式)方式来传输cookie,Http(未加密方式)方式则不可以。
配置nginx配置文件,使请求头cookie后面带上secure字段。
敏感数据GET传输
低风险
GET方式传递的敏感数据更容易被截获,降低了攻击的门槛,攻击者通过简单的JavaScript脚本即可获得敏感数据的内容。
使用POST方式传递敏感信息。
业务类型
漏洞类型
其他类型
应用程序错误信息泄漏
低风险
黑客可通过特殊的攻击向量,使web服务器出现500、404等相关错误,返回服务器敏感信息。
信息泄漏如绝对路径、webserver版本、源代码、sql语句等敏感信息,恶意攻击者很有可能利用这些信息实施进一步的攻击。
自定义错误页面或归一化错误页面信息提示!
Weblogic默认报错页面
低风险
黑客可通过特殊的攻击向量,使web服务器出现500、404等相关错误,返回服务器相关服务的敏感信息。如以下的weblogic,可以尝试使用其相关漏洞来进行利用。
信息泄漏如绝对路径、webserver版本、源代码、sql语句等敏感信息,恶意攻击者很有可能利用这些信息实施进一步的攻击。
自定义错误页面或归一化错误页面信息提示!
垃圾文件上传
中风险
修改数据包内文件大小限制即可无限重放成功上传
恶意攻击者可以通过无限上传塞满服务器磁盘,造成应用异常或者服务器宕机。
无服务端控制上传大小,无需此功能可以剔除掉上传功能
