WEB安全掃描問題彙總

嚴重問題：
一、Tomcat版本太低
Tomcat5~8各個版本儘可能使用最新的版本，新版已經修復了已經發現的漏洞。
二、SQL盲注
對於用戶輸入的參數進行過濾。
三、jQuery跨站腳本
升級jQuery，更換爲最新版的jQuery
四、Struts2開發模式
使用Spring MVC等其餘框架，或升級Struts2最新版本
五、易受攻擊的JavaScript庫
更換使用的JS庫、或者修改相關的JS。


通常問題：
一、HTML表單沒有CSRF保護
傳到後臺的表單數據都沒過濾、沒有進行URLEncode等
二、DoS攻擊--HTTP Denial of Service Attack

三、用戶得憑證信息以明文發送User credentials are sent in clear text
帳號和密碼直接這樣送到後臺的：name=aaa&password=123456。。。
四、點擊劫持Clickjacking: X-Frame-Options header missing

五、密碼猜想攻擊Login page password-guessing attack
只作普通的MD5加密被證實已經不知足目前的安全要求了，由於有不少用戶密碼強度很是簡單，1~六、6個一、等等，很容易被猜到。
六、敏感目錄Possible sensitive directories
取到Tomcat部署目錄。。。
七、SESSION和Cookie未設置HttpOnly標識Session Cookie without HttpOnly flag set

一、修改默認的sessionid生成方式，加個密？換成64位的？；
二、session設置httpOnly，F12看不到，HTTP工具也看不到？；
三、Cookie的設置，別跟我之前同樣**，cookie放的內容是：userName=xxx。。。加密都不作
八、未設置安全標識Session Cookie without Secure flag set
secure=true --- ？
九、響應緩慢Slow response time
一、上線前作性能優化頁面要秒出，超過N秒就是BUG
二、AJAX設超時時間


普通問題：
一、連接失效Broken links
網頁里加的外部連接，連接對應的內容可能已經刪除、修改等緣由，沒法訪問，點擊後會報404等錯誤，用戶體驗差。上線前要檢查外鏈！
二、未指定文檔類型Content type is not specified
網頁裏沒有doctype聲明，對瀏覽器不友好？
三、發現Email地址Email address found
網頁出現了完整的Email地址，例如:<a href="mailto:test@test.com">發郵件給我</a>，應該修改！
四、IE瀏覽器XSS防禦失效Internet Explorer XSS Protection disabled on this page
IE瀏覽器有XSS防禦選項
五、密碼輸入框啓用自動匹配Password type input with auto-complete enabled
input的type爲password的通常要哦加上autocomplete="off"，關閉自動完
六、可能的用戶名或密碼泄露Possible username or password disclosure