温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

网站漏洞处理

发布时间:2020-06-18 23:01:10 来源:网络 阅读:1559 作者:xingyun2010 栏目:安全技术

1:点击劫持:X-Frame-Options头信息

X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。
X-Frame-Options 共有三个值:
DENY
任何页面都不能被嵌入到 iframe 或者 frame 中。
SAMEORIGIN
页面只能被本站页面嵌入到 iframe 或者 frame 中。
ALLOW-FROM  uri
页面自能被指定的 Uri 嵌入到 iframe 或 frame 中。

1)IIS6服务器。配置服务器,使返回报文包括X-Frame-Options。修改IIS配置,http头,自定义,添加。

2)Apache 配置 X-Frame-Options
在站点配置文件 httpd.conf 中添加如下配置,限制只有站点内的页面才可以嵌入iframe 。
Header always append X-Frame-Options SAMEORIGIN
如果同一 apache 服务器上有多个站点,只想针对一个站点进行配置,可以修改.htaccess 文件,添加如下内容:
Header append X-FRAME-OPTIONS "SAMEORIGIN"
3)Nginx 配置 X-Frame-Options
到nginx/conf 文件夹下,修改 nginx.conf   ,添加如下内容:
add_header X-Frame-Options "SAMEORIGIN";

2. Microsoft IIS目录枚举

解决方法: 安装urlscan,将~符号拒绝掉。DenyUrlSequences 下面添加 ~。

3.Microsoft IIS版本泄漏

解决方法: 安装urlscan,将header头server删掉。

4. general OPTIONS methodis enabled

解决方法: 安装urlscan,UseAllowVerbs = 0

使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;

AllowDotInPath=1

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI