严重问题:
1、Tomcat版本过低
Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。
2、SQL盲注
对于用户输入的参数进行过滤。
3、jQuery跨站脚本
4、Struts2开发模式
使用Spring MVC等其他框架,或升级Struts2版本
5、易受攻击的JavaScript库
更换jquery为最新的版本。
一般问题:
1、HTML表单没有CSRF保护
2、DoS攻击--HTTP Denial of Service Attack
3、用户得凭证信息以明文发送User credentials are sent in clear text
4、点击劫持Clickjacking: X-Frame-Options header missing
5、密码猜测攻击Login page password-guessing attack
6、敏感目录Possible sensitive directories
7、SESSION和Cookie未设置HttpOnly标识Session Cookie without HttpOnly flag set
8、未设置安全标识Session Cookie without Secure flag set
9、响应缓慢Slow response time
普通问题:
1、链接失效Broken links
2、未指定文档类型Content type is not specified
3、发现Email地址Email address found
页面不要出现完整的Email地址
4、IE浏览器XSS防护失效Internet Explorer XSS Protection disabled on this page
5、密码输入框启用自动匹配Password type input with auto-complete enabled
6、可能的用户名或密码泄露Possible username or password disclosure
严重问题:
1、Tomcat版本过低
Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。
2、SQL盲注
对于用户输入的参数进行过滤。
3、jQuery跨站脚本
4、Struts2开发模式
使用Spring MVC等其他框架,或升级Struts2版本
5、易受攻击的JavaScript库
更换jquery为最新的版本。
一般问题:
1、HTML表单没有CSRF保护
2、DoS攻击--HTTP Denial of Service Attack
3、用户得凭证信息以明文发送User credentials are sent in clear text
4、点击劫持Clickjacking: X-Frame-Options header missing
5、密码猜测攻击Login page password-guessing attack
6、敏感目录Possible sensitive directories
7、SESSION和Cookie未设置HttpOnly标识Session Cookie without HttpOnly flag set
8、未设置安全标识Session Cookie without Secure flag set
9、响应缓慢Slow response time
普通问题:
1、链接失效Broken links
2、未指定文档类型Content type is not specified
3、发现Email地址Email address found
页面不要出现完整的Email地址
4、IE浏览器XSS防护失效Internet Explorer XSS Protection disabled on this page
5、密码输入框启用自动匹配Password type input with auto-complete enabled
6、可能的用户名或密码泄露Possible username or password disclosure