隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，業(yè)務(wù)的開展方式更加靈活，應(yīng)用系統(tǒng)更加復(fù)雜，也因此面臨著更多的安全性挑戰(zhàn)。安全測試是在應(yīng)用系統(tǒng)投產(chǎn)發(fā)布之前，驗(yàn)證應(yīng)用系統(tǒng)的安全性并識(shí)別潛在安全缺陷的過程，目的是防范安全風(fēng)險(xiǎn)，滿足保密性、完整性、可用性等要求。

[[346202]]

日常測試過程中經(jīng)常遇到開發(fā)同事來詢問一些常見的配置型漏洞應(yīng)該如何去修復(fù)，為了幫助開發(fā)同事快速識(shí)別并解決問題，通過總結(jié)項(xiàng)目的安全測試工作經(jīng)驗(yàn)，筆者匯總、分析了應(yīng)用系統(tǒng)的一些常見配置型漏洞并給出相應(yīng)的修復(fù)建議，在這里給大家進(jìn)行簡單的分享。

一、Cookie缺少HttpOnly屬性

漏洞描述

Cookie中的HttpOnly屬性值規(guī)定了Cookie是否可以通過客戶端腳本進(jìn)行訪問，能起到保護(hù)Cookie安全的作用，如果在Cookie中沒有將HttpOnly屬性設(shè)置為true，那么攻擊者就可以通過程序(JS腳本、Applet等)竊取用戶Cookie信息，增加攻擊者的跨站腳本攻擊威脅。竊取的Cookie中可能包含標(biāo)識(shí)用戶的敏感信息，如ASP.NET會(huì)話標(biāo)識(shí)等，攻擊者借助竊取的Cookie達(dá)到偽裝用戶身份或獲取敏感信息的目的，進(jìn)行跨站腳本攻擊等。

修復(fù)建議

向所有會(huì)話Cookie中添加"HttpOnly"屬性。

1)Java語言示例：

HttpServletResponse response2 = (HttpServletResponse)response; 
 
response2.setHeader( "Set-Cookie", "name=value; HttpOnly"); 

2)C#語言示例：

HttpCookie myCookie = new HttpCookie("myCookie"); 
 
myCookie.HttpOnly = true; 
 
Response.AppendCookie(myCookie); 

3)VB.NET語言示例：

Dim myCookie As HttpCookie = new HttpCookie("myCookie") 
 
myCookie.HttpOnly = True 
 
Response.AppendCookie(myCookie) 

二、加密會(huì)話(SSL)Cookie缺少secure屬性

漏洞描述

對(duì)于敏感業(yè)務(wù)，如登錄、轉(zhuǎn)賬、支付等，需要使用HTTPS來保證傳輸安全性，如果會(huì)話Cookie缺少secure屬性，Web應(yīng)用程序通過SSL向服務(wù)器端發(fā)送不安全的Cookie，可能會(huì)導(dǎo)致發(fā)送到服務(wù)器的Cookie被非HTTPS頁面獲取，造成用戶Cookie信息的泄露。如果啟用了secure屬性，瀏覽器將僅在HTTPS請(qǐng)求中向服務(wù)端發(fā)送cookie內(nèi)容。

修復(fù)建議

向所有敏感的Cookie添加"secure"屬性。

1)服務(wù)器配置為HTTPS SSL方式;

2)Servlet 3.0環(huán)境下對(duì)web.xml文件進(jìn)行如下配置：

true 

3)ASP.NET中對(duì)Web.config進(jìn)行如下配置：

php.ini中進(jìn)行如下配置：

session.cookie_secure = True 

或者

void session_set_cookie_params ( int $lifetime [, string $path [, string $domain [, bool $secure= false [, bool $HttpOnly= false ]]]] ) 

或者

bool setcookie ( string $name [, string $value? [, int $expire= 0 [, string $path [, string $domain [, bool $secure= false [, bool $HttpOnly= false ]]]]]] ) 

在weblogic中進(jìn)行如下配置：

true 
 
true 

三、缺少"Content-Security-Policy"頭

漏洞描述

因Web應(yīng)用程序編程或配置不安全，導(dǎo)致HTTP響應(yīng)缺少"Content-Security-Policy"頭，可能產(chǎn)生跨站腳本攻擊等隱患，可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、卡號(hào)或敏感文件位置等。

修復(fù)建議

將服務(wù)器配置為使用安全策略的"Content-Security-Policy"頭。

在web.config 配置文件中添加如下HTTP響應(yīng)頭：

<system.webServer> 
 
　　　　<httpProtocol>? 
 
　　　　　　<customHeaders> 
 
　　<add name="Content-Security-Policy" value="default-src 'self';"/> 
 
　　　　　　</customHeaders> 
 
　　　　</httpProtocol> 
 
　　</system.webServer> 

使用meta標(biāo)簽：

<meta http-equiv="Content-Security-Policy" content="default-src 'self'"/> 

四、缺少"X-Content-Type-Options"頭

漏洞描述

因Web應(yīng)用程序編程或配置不安全，導(dǎo)致缺少"Content-Security-Policy"頭，可能產(chǎn)生偷渡式下載攻擊等隱患。

修復(fù)建議

將服務(wù)器配置為使用值為"nosniff"的"X-Content-Type-Options"頭。

在web.config 配置文件中添加如下響應(yīng)頭：

<add name="X-Content-Type-Options" value="nosniff"/> 

使用meta標(biāo)簽

<meta http-equiv="X-Content-Type-Options" content="nosniff" /> 

五、缺少"X-XSS-Protection"頭

漏洞描述

因Web應(yīng)用程序編程或配置不安全，導(dǎo)致缺少"Content-Security-Policy"頭，可能產(chǎn)生跨站腳本攻擊等隱患。

修復(fù)建議

將服務(wù)器配置為使用值為"1"(已啟用)的"X-XSS-Protection"頭。

1)在web.config 配置文件中添加如下響應(yīng)頭：

<add name="X-XSS-Protection" value="1;mode=block"/> 

使用meta標(biāo)簽

<meta http-equiv="X-XSS-Protection" content="1;mode=block" /> 

六、缺少"HTTP Strict-Transport-Security"頭

漏洞描述

因Web應(yīng)用程序編程或配置不安全，導(dǎo)致缺少 HTTP Strict-Transport-Security 頭。為了用戶體驗(yàn)，有些網(wǎng)站允許使用HTTPS和HTTP訪問，當(dāng)用戶使用HTTP訪問時(shí)，網(wǎng)站會(huì)返回給用戶一個(gè)302重定向到HTTPS地址，后續(xù)訪問都使用HTTPS協(xié)議傳輸，但這個(gè)302重定向地址可能會(huì)被劫持篡改，被改成一個(gè)惡意的或者釣魚HTTPS站點(diǎn)，導(dǎo)致敏感信息如用戶名、密碼、卡號(hào)或敏感文件位置泄露等風(fēng)險(xiǎn)。

修復(fù)建議

通過向 web 應(yīng)用程序響應(yīng)添加"Strict-Transport-Security"響應(yīng)頭來實(shí)施 HTTP 嚴(yán)格傳輸安全策略，或?qū)嵤┚哂凶銐蜷L"max-age"的 HTTP Strict-Transport-Security 策略，強(qiáng)制客戶端(如瀏覽器)使用HTTPS與服務(wù)器創(chuàng)建連接。

七、容易出現(xiàn)點(diǎn)擊劫持(Clickjacking)

漏洞描述

頁面未能設(shè)置適當(dāng)?shù)腦-Frame-Options或Content-Security-Policy HTTP頭，則攻擊者控制的頁面可能將其加載到iframe中，導(dǎo)致點(diǎn)擊劫持攻擊，此類攻擊屬于一種視覺欺騙手段，主要實(shí)現(xiàn)方式有兩種：一是攻擊者將一個(gè)透明的iframe覆蓋在一個(gè)網(wǎng)頁上，誘使用戶在該頁面上進(jìn)行操作，那么用戶就在不知情的情況下點(diǎn)擊透明的iframe頁面;二是攻擊者使用一張圖片覆蓋在網(wǎng)頁，遮擋網(wǎng)頁原有位置的含義。

修復(fù)建議

應(yīng)用程序應(yīng)該返回名稱為X-Frame-Options、值DENY以完全防止成幀的響應(yīng)頭，或者返回值SAMEORIGIN以允許僅通過與響應(yīng)本身相同的來源上的頁進(jìn)行成幀，或者通過ALLOW-FROM origin設(shè)置白名單來限制允許加載的頁面地址。

1)修改中間件配置：

a)IIS：

web.config 配置文件中添加如下響應(yīng)頭：

<add name="X-Frame-Options" value="SAMEORIGIN"/> 

b)Apache：

Header always append X-Frame-Options SAMEORIGIN 

c)Nginx：

add_header X-Frame-Options SAMEORIGIN; 

使用meta標(biāo)簽

<meta http-equiv="X-Frame-Options" content="SAMEORIGIN" /> 

八、啟用了不安全的HTTP方法

漏洞描述

Web服務(wù)器或應(yīng)用服務(wù)器以不安全的方式進(jìn)行配置，導(dǎo)致啟用了WebDAV和不安全的HTTP方法，不安全的HTTP方法一般包括：TRACE、PUT、DELETE、COPY等，可能會(huì)造成攻擊者在Web服務(wù)器上上傳、修改或刪除Web頁面、腳本和文件的隱患。

修復(fù)建議

禁用WebDAV。禁止不需要的HTTP方法(建議只使用GET和POST方法)。

1)Apache：

使用Apache的重寫規(guī)則來禁用Options方法和Trace方法。在Apache配置文件httpd-conf中【vhosts-conf】添加以下代碼：

#單獨(dú)禁用Trace方法：

RewriteEngine On 
 
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK） 
 
RewriteRule .* - [F] 

單獨(dú)禁用Options方法：

RewriteEngine On 
 
RewriteCond %{REQUEST_METHOD} ^(OPTIONS) 
 
RewriteRule .* - [F] 

同時(shí)禁用Trace方法和Options方法：

RewriteEngine On 
 
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS) 
 
RewriteRule .* - [F] 
 
DocumentRoot "D:\wwwroot" 
 
ServerName www.abc.com 
 
ServerAlias abc.com 
 
 
Options FollowSymLinks ExecCGI 
 
AllowOverride All 
 
Order allow,deny 
 
Allow from all 
 
Require all granted 
 
RewriteEngine on 
 
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS) 
 
RewriteRule .* - [F] 

2)Nginx：

在server段里加入下面代碼：

if ($request_method !~* GET|POST) { 
 
return 403; 
 
} 

重啟Nginx，就可以屏蔽GET、POST之外的HTTP方法。

3)Tomcat：

修改web.xml配置文件。

<security-constraint> 
 
　　 <web-resource-collection> 
 
　　 <url-pattern>/*</url-pattern> 
 
　　 <http-method>PUT</http-method> 
 
　　 <http-method>DELETE</http-method> 
 
　　 <http-method>HEAD</http-method> 
 
　　 <http-method>OPTIONS</http-method> 
 
　　 <http-method>TRACE</http-method> 
 
　　 </web-resource-collection> 
 
　　 <auth-constraint> 
 
　　 </auth-constraint> 
 
　　</security-constraint> 

4)IIS：

a)禁用WebDAV功能;

b)在web.config的【configuration】下添加如下代碼：

<system.webServer> <security> <requestFiltering> 
 
　　<verbs allowUnlisted="false"> 
 
　　<add verb="GET" allowed="true"/> 
 
　　<add verb="POST" allowed="true"/> 
 
　　</verbs> 
 
　　</requestFiltering> </security></system.webServer> 

九、"X-Powered-By"字段泄露服務(wù)器信息

漏洞描述

因Web服務(wù)器、應(yīng)用服務(wù)器配置不安全，導(dǎo)致響應(yīng)報(bào)文的響應(yīng)頭中"X-Powered-By"字段泄露服務(wù)器信息，攻擊者可以通過獲取服務(wù)器版本信息，收集相關(guān)漏洞，進(jìn)行特定的攻擊。

修復(fù)建議

隱藏響應(yīng)頭中"X-Powered-By"字段。

1)IIS：

修改web.config配置文件。

<configuration> 
 
　　 <location> 
 
　　 <system.webServer> 
 
　　 <httpProtocol> 
 
　　 <customHeaders> 
 
　　 <remove name="X-Powered-By" /> 
 
　　 </customHeaders> 
 
　　 </httpProtocol> 
 
　　 </system.webServer> 
 
　　 </location> 
 
　　</configuration> 

2)Nginx：

需要加上proxy_hide_header。

location / { 
 
　　 proxy_hide_header X-Powered-By; 
 
　　} 

3)WAS：

修改websphere相應(yīng)配置，將com.ibm.ws.webcontainer.disabledxPoweredBy配置更改為true。

十、"Server"字段泄露服務(wù)器信息

漏洞描述

因Web服務(wù)器、應(yīng)用服務(wù)器配置不安全，導(dǎo)致響應(yīng)報(bào)文的響應(yīng)頭中"Server"字段泄露服務(wù)器信息，攻擊者可以通過獲取服務(wù)器版本信息，收集相關(guān)漏洞，進(jìn)行特定的攻擊。

修復(fù)建議

隱藏HTTP響應(yīng)頭中"Server"字段，在web.config添加以下配置：

<system.webServer> 
 
　　<modules> 
 
　　<add name="CustomHeaderModule" type="StrongNamespace.HttpModules.CustomHeaderModule" /> 

以上就是筆者在實(shí)際項(xiàng)目測試過程中經(jīng)常遇見的十類常見應(yīng)用配置型漏洞描述及針對(duì)常見中間件的修復(fù)建議，希望能夠幫助開發(fā)同事快速理解各類漏洞并找到對(duì)應(yīng)的修復(fù)方式!