2020-02-26 / 2498次点击 OS/操作系统

Session Fixation
SessionID 需要登陆后更新。
Cookie Security: Cookie not Sent Over SSL
Cookie 需要Secure标志。
Cookie Security: Persistent Cookie
Cookie 不能有expires，否则Cookie会被浏览器存储在磁盘上。
Cache Management: Session Cookies
添加cache-control:no-cache到HTTP响应头。否则代理会缓存cookie。
Cookie Security: Overly Broad Session Cookie Domain
去掉Cookie的domain设置，尤其不能设置成.xxx.com
Cookie Security: HTTPOnly not Set
Cookie 需要HTTPOnly标志。
Web Server Misconfiguration: Server Error Message
不能返回HTTP 404，500 等，均需要返回200，然后显示通用的错误页面
Privacy Violation: Autocomplete
尽管大多现代浏览器已经不支持Autocomplete，表单form最好还是需要添加autocomplete=false
Cache Management: Insecure Policy
添加cache-control:no-cache到HTTP响应头。
Insecure Transport: HSTS not Set
添加Strict-Transport-Security:max-age=31536000 到HTTP响应头。表示浏览器在1年之内所有HTTP请求均自动转换为HTTPS请求。
更新到最新的第三方库。
CSRF，需要添加token
硬编码密码，使用管理员账号，没用的文件都需要删掉。
Insecure Randomness. RSA 算法需要伪随机数生成器。暂时忽略这个。

有用 0 没用 0

• 我要提问