Web 应用程序可能容易遭受点击劫持攻击。
medium Nessus 插件 ID 85582
语言:
简介
远程 Web 服务器可能无法缓解特定类型的 Web 应用程序漏洞。描述
远程 Web 服务器未设置所有内容响应中的 X-Frame-Options 响应头或 Content-Security-Policy“frame-ancestors”响应头。这可能将站点暴露给点击劫持或 UI redress 攻击,其中攻击者可诱骗用户点击不同于预期的易受攻击的页面区域。这可导致用户执行欺骗性或恶意交易。X-Frame-Options 已被 Microsoft 推荐为缓解点击劫持攻击的方法,目前受所有主要浏览器供应商支持。
Content-Security-Policy (CSP) 已被 W3C Web 应用安全工作组推荐为缓解点击劫持攻击和其他攻击的方法,受到越来越多主要浏览器供应商的支持。“frame-ancestors”策略指令限制哪些来源可对受保护资源进行嵌入。
请注意,X-Frame-Options 和 Content-Security-Policy 响应头虽然并非缓解点击劫持仅有的两种方法,但它们是目前能够被自动检测的最可靠的方法。因此,如果部署了其他缓解策略(如 frame-busting JavaScript)或页面未执行任何安全敏感交易,则此插件可能产生误报。
解决方案
返回 X-Frame-Options 或 Content-Security-Policy(使用 “frame-ancestors”指令)HTTP 标头及页面的响应。这防止了在使用帧或 iframe HTML 标记时页面内容被其他站点渲染。
另见
http://www.nessus.org/u?399b1f56
https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet
插件详情
严重性: Medium
ID: 85582
文件名: http_generic_clickjacking.nasl
版本: Revision: 1.7
类型: remote
系列: Web Servers
发布时间: 2015/8/22
最近更新时间: 2017/5/16
支持的传感器: Nessus
风险信息
CVSS v2
风险因素: Medium
基本分数: 4.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
漏洞信息
排除的 KB 项: Settings/disable_cgi_scanning
参考资料信息
CWE: 693