常見安全漏洞

  1. [11367]Insecure Transport: Insufficient HSTS Expiration Time

1.1 在tomcat的配置文件web.xml中開啟HttpHeaderSecurityFilter,設(shè)置hstsEnabled和hstsMaxAgeSeconds參數(shù)的值

 <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
        <init-param>
          <param-name>antiClickJackingEnabled</param-name>
          <param-value>true</param-value>
        </init-param>
        <init-param>
          <param-name>antiClickJackingOption</param-name>
          <param-value>SAMEORIGIN</param-value>
        </init-param>
        <init-param>
          <param-name>hstsEnabled</param-name>
          <param-value>true</param-value>
        </init-param>
        <init-param>
          <param-name>hstsMaxAgeSeconds</param-name>
          <param-value>31536000</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>
  1. [11307,11308]Web Server Misconfiguration: Insecure Content-Type Setting

2.1 在后臺(tái)代碼中設(shè)置response的ContentType

response.setContentType("application/json;charset=utf-8");
  1. [11306]Cache Management: Insecure Policy

3.1 在tomcat的配置文件web.xml中開啟ExpiresFilter

    <filter>
       <filter-name>ExpiresFilter</filter-name>
       <filter-class>org.apache.catalina.filters.ExpiresFilter</filter-class>
       <init-param>
          <param-name>ExpiresByType image</param-name>
          <param-value>access plus 30 minutes</param-value>
       </init-param>
       <init-param>
          <param-name>ExpiresByType text/css</param-name>
          <param-value>access plus 30 minutes</param-value>
       </init-param>
       <init-param>
          <param-name>ExpiresByType application/javascript</param-name>
          <param-value>access plus 30 minutes</param-value>
       </init-param>
    </filter>
    <filter-mapping>
         <filter-name>ExpiresFilter</filter-name>
         <url-pattern>/*</url-pattern>
         <dispatcher>REQUEST</dispatcher>
    </filter-mapping>
  1. [10543]Cookie Security: HTTPOnly not Set;Cookie not Sent Over SSL

4.1 在tomcat的web.xml文件中增加cookie-config的secure屬性

<session-config>
        <session-timeout>30</session-timeout>
        <cookie-config>
                <secure>true</secure>
        </cookie-config>
</session-config>

4.2 在tomcat的context.xml文件中設(shè)置useHttpOnly="true"(該步驟可以省,因?yàn)閡seHttpOnly的默認(rèn)值為true)

<Context useHttpOnly="true">

4.3 在后端代碼中設(shè)置cookie的secure和httpOnly屬性

Cookie cookie = new Cookie("cloud_session_id", "cloud_cookie_132131");
cookie.setMaxAge(-1);
cookie.setPath("/");
if (request.isSecure()) { //安全協(xié)議
    cookie.setSecure(true);
}
cookie.setHttpOnly(true);
response.addCookie(cookie);
  1. [11516]Insecure Transport: Weak SSL Protocol

5.1 升級(jí)通信協(xié)議到TLSv1.2

  1. [11501]HTTP Verb Tampering

6.1 在tomcat的web.xml文件中增加安全約束

  <security-constraint>
        <web-resource-collection>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
            <http-method>PATCH</http-method>
        </web-resource-collection>
        <auth-constraint></auth-constraint>
  </security-constraint>
  1. [11380,4725]Often Misused: Weak SSL Certificate; SSL Certificate Hostname Discrepancy

7.1 更新證書為CA機(jī)構(gòu)的合格證書

  1. [11294] Cross-Frame Scripting

8.1 在tomcat的配置文件web.xml中開啟HttpHeaderSecurityFilter,設(shè)置antiClickJackingEnabled和antiClickJackingOption參數(shù)的值

 <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
        <init-param>
          <param-name>antiClickJackingEnabled</param-name>
          <param-value>true</param-value>
        </init-param>
        <init-param>
          <param-name>antiClickJackingOption</param-name>
          <param-value>SAMEORIGIN</param-value>
        </init-param>
        <init-param>
          <param-name>hstsEnabled</param-name>
          <param-value>true</param-value>
        </init-param>
        <init-param>
          <param-name>hstsMaxAgeSeconds</param-name>
          <param-value>31536000</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>
  1. [10963]Cross-Site Request Forgery

9.1 后臺(tái)生成csrfToken岛心,前端每次發(fā)送ajax請(qǐng)求都帶上該token驗(yàn)證

  1. [10241]Flash Misconfiguration: Overly Permissive Cross-Domain Policy

10.1 設(shè)置domain="127.0.0.1"

  1. [4728]Cookie Security: Persistent Cookie

11.1 創(chuàng)建cookie時(shí)累奈,指定maxAge=-1涵防,表示不持久化

Cookie cookie = new Cookie("cloud_session_id", "cloud_cookie_132131");
cookie.setMaxAge(-1);//cookie只保存在內(nèi)存中
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市潮售,隨后出現(xiàn)的幾起案子袜香,更是在濱河造成了極大的恐慌,老刑警劉巖俺祠,帶你破解...
    沈念sama閱讀 218,682評(píng)論 6 507
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件公给,死亡現(xiàn)場(chǎng)離奇詭異借帘,居然都是意外死亡蜘渣,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,277評(píng)論 3 395
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門肺然,熙熙樓的掌柜王于貴愁眉苦臉地迎上來蔫缸,“玉大人,你說我怎么就攤上這事际起∈奥担” “怎么了?”我有些...
    開封第一講書人閱讀 165,083評(píng)論 0 355
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵街望,是天一觀的道長(zhǎng)校翔。 經(jīng)常有香客問我,道長(zhǎng)灾前,這世上最難降的妖魔是什么防症? 我笑而不...
    開封第一講書人閱讀 58,763評(píng)論 1 295
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮哎甲,結(jié)果婚禮上蔫敲,老公的妹妹穿的比我還像新娘。我一直安慰自己炭玫,他們只是感情好奈嘿,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,785評(píng)論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著吞加,像睡著了一般裙犹。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上衔憨,一...
    開封第一講書人閱讀 51,624評(píng)論 1 305
  • 城市分裂傳說
    那天叶圃,我揣著相機(jī)與錄音,去河邊找鬼巫财。 笑死盗似,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的平项。 我是一名探鬼主播赫舒,決...
    沈念sama閱讀 40,358評(píng)論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼闽瓢!你這毒婦竟也來了接癌?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 39,261評(píng)論 0 276
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對(duì)情侶失蹤扣讼,失蹤者是張志新(化名)和其女友劉穎缺猛,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,722評(píng)論 1 315
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡荔燎,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,900評(píng)論 3 336
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年耻姥,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片有咨。...
    茶點(diǎn)故事閱讀 40,030評(píng)論 1 350
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡琐簇,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出座享,到底是詐尸還是另有隱情婉商,我是刑警寧澤,帶...
    沈念sama閱讀 35,737評(píng)論 5 346
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布渣叛,位于F島的核電站丈秩,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏淳衙。R本人自食惡果不足惜蘑秽,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,360評(píng)論 3 330
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望滤祖。 院中可真熱鬧筷狼,春花似錦、人聲如沸匠童。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,941評(píng)論 0 22
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽汤求。三九已至俏险,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間扬绪,已是汗流浹背竖独。 一陣腳步聲響...
    開封第一講書人閱讀 33,057評(píng)論 1 270
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留挤牛,地道東北人莹痢。 一個(gè)月前我還...
    沈念sama閱讀 48,237評(píng)論 3 371
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長(zhǎng)得像墓赴,于是被迫代替她去往敵國和親竞膳。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,976評(píng)論 2 355