X-Download-Options,这个header主要是用来判定IE浏览器是否允许直接打开下载的文件,用于防止直接打开要下载的文件。X-Download-Options的语法:X-Download-Options:noopennoopen用于指定IE8以上版本的用户不打开文件而直接保存文件,在下载对话框中不显示打开选项。
漏洞报告:使用 HTTP 动词篡改的认证旁路。漏洞描述:该问题是指不使用规范的访问方式也能返回页面内容。解决办法:如果使用基于HTTP方法的访问控制,配置web服务器以仅允许所需HTTP方法。也就是根据实际业务需求,屏蔽某些请求。比如屏蔽非GET、POST类型请求。实际操作如下:(1)如果是iis环境,在网站根目录新建web.config配置文件,...
漏洞报告:检测到目标网站Referrer-Policy响应头缺失。漏洞描述:Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面...
漏洞报告:检测到目标网站Strict-Transport-Security响应头缺失。漏洞描述:Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效。 当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 头时,浏览器将持续使用...
漏洞报告:检测到目标网站X-Download-Options响应头缺失。漏洞描述:Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受...
漏洞报告:检测到目标网站X-Permitted-Cross-Domain-Policies响应头缺失。漏洞描述:Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效。当一些在线的 Web Flash 需要加载其他域的内容时,很多 Web 会通过设置一个...
漏洞报告:检测到目标网站URL存在电话号码泄露。漏洞描述:web应用程序响应中含有电话号码,可能被用于社会工程学攻击。解决办法:从 Web 站点中除去电话号码,使恶意的用户无从利用。验证方法:根据检测到目标URL存在电话号码泄露漏洞原理,通过从目标站点获取电话号码进行漏洞验证。
漏洞报告:检测到目标服务器上存在web应用默认目录。漏洞描述:web应用架构中的目录都采用常见的目录名。如图片目录images、javascript目录js,不同的目录潜在的危险是不同的。攻击者一般利用常见目录中可能包含的敏感文件获取敏感信息。 本漏洞属于Web应用安全常见漏洞。解决办法:(1)如果不需要这些目录,可以删除此类目录; (2)或者严格...
风险报告:检测到目标网站robots文件网站结构信息泄露。风险描述:robots文件位于网站根目录下,用于标识网站的某些资源是否允许爬虫工具访问。用Allow表示爬虫工具可访问的资源,用Disallow表示爬虫工具不应该访问的资源。 但同时该文件说明了目标网站存在的链接资源。 通过该文件,攻击者可以更容易的清楚目标网站目录结构,为展开其他攻击提供便...
风险报告:检测到目标网站URL存在电子邮件地址模式。风险描述:Spambot 搜寻因特网站点,开始查找电子邮件地址来构建发送自发电子邮件(垃圾邮件)的邮件列表。 如果检测到含有一或多个电子邮件地址的响应,可供利用以发送垃圾邮件。 而且,找到的电子邮件地址也可能是专用电子邮件地址,对于一般大众应是不可访问的。解决办法:根据需求,从 Web 站点中...
您已成功复制微信号
leishi010
打开微信添加好友?
确定
