X1运营交流
关于网站安全隐患告知书(二)
51
3

今天又收到网站安全隐患整改通知书,还好只有一个低危漏洞,修补如下:


 <IfModule mod_headers.c>

    Header always append X-Frame-Options SAMEORIGIN

    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"

 </IfModule>


http和https虚拟站点文件都加上这个,供大家参考提点。


1.1.1.1 漏洞类型详情

漏洞等级

漏洞详情

漏洞数量

低危

X-Frame-Options Header未配置

1

1.1  网站漏洞整改情况

网站上次检测时间,距本次检测时间为 1天 3秒  ,监测平台对两次检测结果进行了自动对比,对比结果为网站漏洞情况:未整改

未修复漏洞详情:

漏洞名称

涉事URL

漏洞等级

X-Frame-Options Header未配置

http://www.bhsedu.net.cn/

低危

1.2  网站漏洞信息

1.2.1 低危

1.2.1.1 X-Frame-Options Header未配置

URL

http://www.bhsedu.net.cn/

弱点

http://www.bhsedu.net.cn/

请求报文

GET / HTTP/1.1

Host: www.bhsedu.net.cn

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko

Accept: */*

Accept-Encoding: gzip,deflate

Cookie:  

修复建议

点击查看修复建议

 



X-Frame-Options Header未配置

漏洞名称

X-Frame-Options Header未配置

漏洞描述

弱点描述:X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”“iframe”标签中显示,以此使网站内容不被其他站点引用和免于点击劫持攻击。

修复建议

一般性的建议:给您的网站添加X-Frame-Options响应头,赋值有如下三种,1DENY:无论如何不在框架中显示;2SAMEORIGIN:仅在同源域名下的框架中显示;3ALLOW-FROM uri:仅在指定域名下的框架中显示。如Apache修改配置文件添加“Header always append X-Frame-Options SAMEORIGIN”Nginx修改配置文件“add_header X-Frame-Options SAMEORIGIN;”

CVSS 3.0


CVE编号


CNNVD编号

--

漏洞信息

点击回到漏洞信息


0
打赏
收藏
点击回复
      全部留言
  • 3
  • kk1212 白金粉丝 消费:110元 1个月前 22:471楼

    天天自检?你是什么安全单位的站?

    蓝色强 消费:1027.94元 华为 1个月前
    https://www.bhsedu.net.cn//index.php/page/2.html 关注我们就了解了我这边大部分网站关停一片,挺着的不多自勉一下
  • 蓝色强 普通粉丝 消费:1027.94元 1个月前 21:012楼

    这说明x1网站到目前基本还没有发现代码级系统漏洞,龙城确实牛X,X1网站安全性高,站长们无忧了。

更多回复
X1运营交流
      圈内贴子8968
  • 圈子成员262
本圈子内的新贴

热门分类
推荐内容
扫一扫访问手机版