問:
漏洞類型漏洞描述修復建議開啟options方法弱點描述:Web服務器配置為允許使用危險的HTTP方法,如PUT、MOVE、COPY、DELETE、PROPFIND、SEARCH、MKCOL、LOCK、UNLOCK、PROPPATCH,該配置可能允許未授權的用戶對Web服務器進行敏感操作。一般性的建議:[1]如果服務器不需要支持WebDAV請禁用WebDAV,或禁用掉不安全的HTTP方法,IIS在IIS服務中的\”Web服務擴展\”中關閉WebDav。請問下這個可否關閉?,如果服務器不需要支持WebDAV請禁用WebDAV,或禁用掉不安全的HTTP方法,IIS在IIS服務中的\”Web服務擴展\”中關閉WebDav。
答:您好,您當前賬號下有一個主機,但主機是linux系統,并非iis。禁用危險方法可以參考:https://blog.mydns.vip/1304.html 請參考linux方法,非常感謝您長期對我司的支持!
問:漏洞類型
漏洞描述修復建議Html form表單沒有CSRF防護CSRF(Cross-site request forgery跨站請求偽造,也被稱成為“one click attack”或者session riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。WebScan發現一個HTML表單沒有明顯的反CSRF保護。驗證此表格是否需要防CSRF保護,必要時實施CSRF對策。會話Cookie中缺少HttpOnly屬性弱點描述:在應用程序測試過程中,檢測到所測試的Web應用程序設置了不含“HttpOnly”屬性的會話cookie。由于此會話cookie不包含“HttpOnly”屬性,因此注入點的惡意腳本可能訪問此cookie,并竊取它的值。任何存儲在會話令牌中的信息都可能被竊取,并在稍后用于身份盜竊或用戶偽裝。參考鏈接:https://www.owasp.org/index.php/HttpOnly一般性的建議:[1]基本上,cookie的唯一必需屬性是“name”字段,必須設置“HttpOnly”屬性,才能防止會話cookie被腳本訪問。這個第二點 以前記得你們改過,怎么公安又提出這個問題了!你們以前在.htaccess 文件里面配置過此條
<IfModule mod_headers.c>Header set X-Frame-Options \”SAMEORIGIN\”Header always edit Set-Cookie (.*) \”$1; HTTPOnly\”</IfModule>
問:我知道是linux ,就是linux如何禁用WebDAV
問:本地網監用掃描器檢查網站漏洞,其中一條是啟用了 WebDAV。
我要如何才能關閉WebDAV?
答:您好,在您web.config里面添加了這段移除WebDAV代碼,請再核實,非常感謝您長期對我司的支持!
