2016-11-11 6 views
0

У меня есть два веб-приложения, запущенные на сервере Tomcat Apache. Наша команда безопасности обнаружила две уязвимости.Исправление уязвимости для антиклинического jacking для веб-приложения

85582 - Веб-приложение потенциально уязвимо ClickJacking

Я прошел через некоторые сайты, как мы должны решить эту проблему. Было сказано, что мы можем идти как на стороне клиента, так и на стороне сервера. Я понял, что для предотвращения на стороне сервера нам нужно добавить «HTTP-фильтр заголовка HTTP» в файл tomcat web.xml.

Может ли кто-нибудь сказать, в какую сторону мне нужно выбрать для этого и как? Если мне нужно пойти на добавочный фильтр, достаточно одного или мне нужно сделать что-нибудь лишнее?

Любая помощь по этому поводу будет высоко оценена. Спасибо.

+0

Thanks @ChristopherSchultz. Я пытаюсь найти пути, как новые для этой темы полностью. Мой вопрос: если я пойду с «фильтром безопасности заголовка HTTP» в tomcat, этого будет достаточно? –

+0

Спасибо за информацию @ ChristopherSchultz –

ответ

0

Существует несколько способов устранения уязвимостей, таких как щелчок мышью. Какую технику вы надеялись использовать? Даже у Tomcat's HTTP Header Security Filter есть много вариантов. Обычно клик-манипуляция становится возможной из-за ошибки XSS в приложении или какой-либо другой серьезной проблемы с приложением (или связанного с ним продукта, такого как объявление, размещенное на странице).

Включение фильтра защиты заголовка HTTP, однако, недостаточно. Ваше приложение также должно быть безопасным. Функции анти-clickjacking веб-браузера (которые просто включаются с использованием этих заголовков) являются защитой для серверов, которые не заботятся о содержимом, которое они отправляют в браузер. Вы должны убедиться, что нет, например, XSS-уязвимости в вашем приложении.