網(wǎng)站漏洞處理

1：點(diǎn)擊劫持:無(wú)X-Frame-Options頭信息

成都創(chuàng)新互聯(lián)始終堅(jiān)持【策劃先行，效果至上】的經(jīng)營(yíng)理念，通過(guò)多達(dá)10年累計(jì)超上千家客戶的網(wǎng)站建設(shè)總結(jié)了一套系統(tǒng)有效的營(yíng)銷推廣解決方案，現(xiàn)已廣泛運(yùn)用于各行各業(yè)的客戶，其中包括：茶藝設(shè)計(jì)等企業(yè)，備受客戶表?yè)P(yáng)。

X-Frame-Options HTTP 響應(yīng)頭，可以指示瀏覽器是否應(yīng)該加載一個(gè) iframe 中的頁(yè)面。網(wǎng)站可以通過(guò)設(shè)置 X-Frame-Options 阻止站點(diǎn)內(nèi)的頁(yè)面被其他頁(yè)面嵌入從而防止點(diǎn)擊劫持。
X-Frame-Options 共有三個(gè)值：
DENY
任何頁(yè)面都不能被嵌入到 iframe 或者 frame 中。
SAMEORIGIN
頁(yè)面只能被本站頁(yè)面嵌入到 iframe 或者 frame 中。
ALLOW-FROM  uri
頁(yè)面自能被指定的 Uri 嵌入到 iframe 或 frame 中。

1）IIS6服務(wù)器。配置服務(wù)器，使返回報(bào)文包括X-Frame-Options。修改IIS配置，http頭，自定義，添加。

2)Apache 配置 X-Frame-Options
在站點(diǎn)配置文件 httpd.conf 中添加如下配置，限制只有站點(diǎn)內(nèi)的頁(yè)面才可以嵌入iframe 。
Header always append X-Frame-Options SAMEORIGIN
如果同一 apache 服務(wù)器上有多個(gè)站點(diǎn)，只想針對(duì)一個(gè)站點(diǎn)進(jìn)行配置，可以修改.htaccess 文件，添加如下內(nèi)容：
Header append X-FRAME-OPTIONS "SAMEORIGIN"
3)Nginx 配置 X-Frame-Options
到nginx/conf 文件夾下，修改 nginx.conf   ，添加如下內(nèi)容：
add_header X-Frame-Options "SAMEORIGIN";

2.Microsoft IIS目錄枚舉

解決方法： 安裝urlscan，將~符號(hào)拒絕掉。DenyUrlSequences 下面添加 ~。

3.Microsoft IIS版本泄漏

解決方法： 安裝urlscan，將header頭server刪掉。

4. general OPTIONS methodis enabled

解決方法： 安裝urlscan，UseAllowVerbs = 0

使用允許模式檢查URL請(qǐng)求，如果設(shè)置為1,所有沒(méi)有在[AllowVerbs]節(jié)設(shè)置的請(qǐng)求都被拒絕；如果設(shè)置為0，所有沒(méi)有在[DenyVerbs]設(shè)置的URL請(qǐng)求都認(rèn)為合法；默認(rèn)為1;。

AllowDotInPath=1

網(wǎng)頁(yè)名稱：網(wǎng)站漏洞處理
當(dāng)前鏈接：http://bm7419.com/article46/jjsohg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、企業(yè)建站、品牌網(wǎng)站建設(shè)、網(wǎng)站策劃、移動(dòng)網(wǎng)站建設(shè)、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)