问题 Web应用程序未实施内容安全策略

yugesh65n

成员
已加入
2017年7月2日
留言内容
6
编程经验
3-5
你好
我的Web应用程序存在安全问题。
我的ASP.NET Web应用程序未强制执行 内容安全政策。这可能会使攻击者将恶意的可执行内容插入应用程序的响应中。
目前,大多数现代浏览器都支持CSP,但Internet Explorer除外,Internet Explorer仅从版本10开始提供部分支持。以下浏览器版本具有全面支持:
*火狐浏览器-23+
*铬-25+
* Safari-7+
该应用程序的响应中未包含CSP标头。这样,攻击者可能会插入精心制作的内容,例如恶意JavaScript或CSS,这可能导致对应用程序用户的XSS或CSS注入攻击。
我该如何预防?
以下是使用的技术:
C#.Net,ASP.Net,SQL Server 2008 R2,Java脚本。
请帮我
谢谢。
 

yugesh65n

成员
已加入
2017年7月2日
留言内容
6
编程经验
3-5
应用程序使用的Cookie没有设置HTTPOnly标志。

你好
我的ASP.NET应用程序使用的Cookie没有设置HTTPOnly标志。
这可能允许客户端脚本访问cookie并将其显示给攻击者。
我该如何预防?
 

yugesh65n

成员
已加入
2017年7月2日
留言内容
6
编程经验
3-5
Cookie的安全标志未设置

你好
我的ASP.NET Web应用程序使用的HTTP cookie, 确定未设置cookie的安全标志。如果没有此标志,则cookie的内容可能会穿越明文通道,这可能导致攻击者获得对用户会话的访问权限。
请帮我
谢谢。
 

yugesh65n

成员
已加入
2017年7月2日
留言内容
6
编程经验
3-5
Web应用程序的通信安全受到威胁

你好
我的Web应用程序存在安全问题。
在My ASP.NET Web应用程序上,网络服务器上的通信安全受到威胁(SSL / TLS配置)/较弱的SSL实现受支持。

以下是使用的技术:
C#.Net,ASP.Net,SQL Server 2008 R2,Java脚本。

请帮我
谢谢。
 

yugesh65n

成员
已加入
2017年7月2日
留言内容
6
编程经验
3-5
Web应用程序配置为返回信息错误消息

你好
我的Web应用程序存在安全问题。
我的ASP.NET Web应用程序配置为返回信息错误消息。这可以使攻击者了解错​​误的原因,并使用此信息来制定进一步的攻击策略。

以下是使用的技术:
C#.Net,ASP.Net,SQL Server 2008 R2,Java脚本。

请帮我
谢谢。
 
最佳 底部