这是我上午扫描的一个网站javascript
不少地方地方不懂 在网上查了java
严重问题有Session fixtion,vulnerable javascript library..浏览器
1.什么是session fixation攻击
Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和肯定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着肯定一个会话ID从而达到攻击的目的。在维基百科中专门有个词条http://en.wikipedia.org/wiki/Session_fixation,在此引述其攻击情景,防范策略参考原文。
攻击情景
原文中Alice是受害者,她使用的一个银行网站http://unsafe/存在session fixation漏洞,Mallory是攻击者,他想盗 窃Alice的银行中的存款,而Alice会点击Mallory发给她的网页链接(缘由多是Alice认识Mallory,或者她本身的安全意识不强)。
攻击情景1:最简单:服务器接收任何会话ID
过程以下:
1.Mallory发现http://unsafe/接收任何会话ID,并且会话ID经过URL地址的查询参数携带到服务器,服务器不作检查
2.Mallory给Alice发送一个电子邮件,他可能伪装是银行在宣传本身的新业务,例如,“我行推出了一项新服务,率先体验请点击:http://unsafe/?SID= I_WILL_KNOW_THE_SID, I_WILL_KNOW_THE_SID是Mallory选定的一个会话ID。
3.Alice被吸引了,点击了 http://unsafe/?SID= I_WILL_KNOW_THE_SID,像往常同样,输入了本身的账号和口令从而登陆到银行网站。
4.由于服务器的会话ID不改变,如今Mallory点击 http://unsafe/?SID= I_WILL_KNOW_THE_SID后,他就拥有了Alice的身份。能够随心所欲了。
攻击情景2:服务器产生的会话ID不变
过程以下:
1.Mallory访问 http://unsafe/ 并得到了一个会话ID(SID),例如服务器返回的形式是:Set-Cookie: SID=0D6441FEA4496C2
2.Mallory给Alice发了一个邮件:”我行推出了一项新服务,率先体验请点击:http://unsafe/?SID=0D6441FEA4496C2
3.Alice点击并登陆了,后面发生的事与情景1相同
攻击情景3:跨站cookie(cross-site cooking)
利用浏览器的漏洞,即便 http://good 很安全,可是,因为浏览器管理cookie的漏洞,使恶意网站 http://evil/ 可以向浏览器发送 http://good 的cookie。过程以下:
1.Mallory给Alice发送一个邮件“有个有趣的网站:http://evil 很好玩,不妨试试”
2.Alice访问了这个连接,这个网站将一个会话ID取值为I_WILL_KNOW_THE_SID 的 http://good/ 域的cookie设置到浏览器中。
3.Mallory又给Alice发了个邮件:“我行推出了一项新服务,率先体验请点击:http://good/”
4.若是Alice登陆了,Mallory就能够利用这个ID了
在javaEE中, 情景1应该是不可能的吧, 由于session的ID都是由服务器产生的
对于如今的浏览器,情景3估计也是不可能的吧.
只有情景2最靠谱, 先本身访问下某网站,获取本身的session ID,而后把这个sessionID拼接在网址后面发给别人访问,只要那我的一登陆, 咱们也就至关于登陆了安全
2.什么是vulnerable javascript library服务器
脆弱的javascrpts库cookie
这个我在网上也没找到详细的解释session
在我理解 这个的处理方法就是更换使用的JS库、或者修改相关的js工具
中等问题有网站
1.HTML表单没有CSRF保护加密
传到后台的表单数据都没过滤、没有进行URLEncode
2.DoS攻击--HTTP Denial of Service Attack
3.用户得凭证信息以明文发送User credentials are sent in clear text
帐号和密码直接这样送到后台的:name=aaa&password=123456
低等问题
1.点击劫持Clickjacking: X-Frame-Options header missing
2.密码猜想攻击Login page password-guessing attack
3.SESSION和Cookie未设置HttpOnly标识Session Cookie without HttpOnly flag set
修改默认的sessionid生成方式;
session设置httpOnly,F12看不到,HTTP工具能看到;
Cookie的设置,cookie放的内容是:userName=xxx。。。未做加密
4.敏感目录Possible sensitive directories
取到Tomcat部署目录
本文出自 “大李子” 博客,谢绝转载!