這是我上午掃描的一個網站javascript
不少地方地方不懂 在網上查了java
嚴重問題有Session fixtion,vulnerable javascript library..瀏覽器
1.什麼是session fixation攻擊
Session fixation有人翻譯成「Session完成攻擊」,實際上fixation是確知和肯定的意思,在此是指Web服務的會話ID是確知不變的,攻擊者爲受害着肯定一個會話ID從而達到攻擊的目的。在維基百科中專門有個詞條http://en.wikipedia.org/wiki/Session_fixation,在此引述其攻擊情景,防範策略參考原文。
攻擊情景
原文中Alice是受害者,她使用的一個銀行網站http://unsafe/存在session fixation漏洞,Mallory是攻擊者,他想盜 竊Alice的銀行中的存款,而Alice會點擊Mallory發給她的網頁鏈接(緣由多是Alice認識Mallory,或者她本身的安全意識不強)。
攻擊情景1:最簡單:服務器接收任何會話ID
過程以下:
1.Mallory發現http://unsafe/接收任何會話ID,並且會話ID經過URL地址的查詢參數攜帶到服務器,服務器不作檢查
2.Mallory給Alice發送一個電子郵件,他可能僞裝是銀行在宣傳本身的新業務,例如,「我行推出了一項新服務,率先體驗請點擊:http://unsafe/?SID= I_WILL_KNOW_THE_SID, I_WILL_KNOW_THE_SID是Mallory選定的一個會話ID。
3.Alice被吸引了,點擊了 http://unsafe/?SID= I_WILL_KNOW_THE_SID,像往常同樣,輸入了本身的賬號和口令從而登陸到銀行網站。
4.由於服務器的會話ID不改變,如今Mallory點擊 http://unsafe/?SID= I_WILL_KNOW_THE_SID後,他就擁有了Alice的身份。能夠隨心所欲了。
攻擊情景2:服務器產生的會話ID不變
過程以下:
1.Mallory訪問 http://unsafe/ 並得到了一個會話ID(SID),例如服務器返回的形式是:Set-Cookie: SID=0D6441FEA4496C2
2.Mallory給Alice發了一個郵件:」我行推出了一項新服務,率先體驗請點擊:http://unsafe/?SID=0D6441FEA4496C2
3.Alice點擊並登陸了,後面發生的事與情景1相同
攻擊情景3:跨站cookie(cross-site cooking)
利用瀏覽器的漏洞,即便 http://good 很安全,可是,因爲瀏覽器管理cookie的漏洞,使惡意網站 http://evil/ 可以向瀏覽器發送 http://good 的cookie。過程以下:
1.Mallory給Alice發送一個郵件「有個有趣的網站:http://evil 很好玩,不妨試試」
2.Alice訪問了這個連接,這個網站將一個會話ID取值爲I_WILL_KNOW_THE_SID 的 http://good/ 域的cookie設置到瀏覽器中。
3.Mallory又給Alice發了個郵件:「我行推出了一項新服務,率先體驗請點擊:http://good/」
4.若是Alice登陸了,Mallory就能夠利用這個ID了
在javaEE中, 情景1應該是不可能的吧, 由於session的ID都是由服務器產生的
對於如今的瀏覽器,情景3估計也是不可能的吧.
只有情景2最靠譜, 先本身訪問下某網站,獲取本身的session ID,而後把這個sessionID拼接在網址後面發給別人訪問,只要那我的一登陸, 咱們也就至關於登陸了安全
2.什麼是vulnerable javascript library服務器
脆弱的javascrpts庫cookie
這個我在網上也沒找到詳細的解釋session
在我理解 這個的處理方法就是更換使用的JS庫、或者修改相關的js工具
中等問題有網站
1.HTML表單沒有CSRF保護加密
傳到後臺的表單數據都沒過濾、沒有進行URLEncode
2.DoS攻擊--HTTP Denial of Service Attack
3.用戶得憑證信息以明文發送User credentials are sent in clear text
帳號和密碼直接這樣送到後臺的:name=aaa&password=123456
低等問題
1.點擊劫持Clickjacking: X-Frame-Options header missing
2.密碼猜想攻擊Login page password-guessing attack
3.SESSION和Cookie未設置HttpOnly標識Session Cookie without HttpOnly flag set
修改默認的sessionid生成方式;
session設置httpOnly,F12看不到,HTTP工具能看到;
Cookie的設置,cookie放的內容是:userName=xxx。。。未做加密
4.敏感目錄Possible sensitive directories
取到Tomcat部署目錄
本文出自 「大李子」 博客,謝絕轉載!