关于解决绿盟科技安全评估报告中的web漏洞

关于解决绿盟科技安全评估报告中的web漏洞

3.1.1.Apache Tomcat 文件包含漏洞（CVE-2020-1938）

方式一：升级tomcat版本，
对于springboot项目，需要更换内置tomcat
更换步骤：
1 进入springboot共成的parent可以看到tomcat的版本

2 在自己的pom文件里覆盖掉内置的tomcat版本
::: details 点击查看代码

        <tomcat.version>9.0.31</tomcat.version>

            <dependency>
				<groupId>org.apache.tomcat.embed</groupId>
				<artifactId>tomcat-embed-core</artifactId>
				<version>${tomcat.version}</version>
			</dependency>
			<dependency>
				<groupId>org.apache.tomcat</groupId>
				<artifactId>tomcat-juli</artifactId>
				<version>${tomcat.version}</version>
			</dependency>
            <!--排除依赖-->
            <dependency>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-starter-web</artifactId>
				<exclusions>
					<exclusion>
						<groupId>org.springframework.boot</groupId>
						<artifactId>spring-boot-starter-tomcat</artifactId>
					</exclusion>
				</exclusions>
			</dependency>

:::

效果：

3 启动项目看一下

没有报错，修改成功

若不需要使用Tomcat AJP协议，可直接关闭AJP Connector，或将其监听地址改为仅监听本机localhost。
具体操作：

（1）编辑 <CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 为 Tomcat 的工作目录）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" /> 

（2）将此行注释掉（也可删掉该行）：

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

（3）保存后需重新启动Tomcat，规则方可生效。

3.1.2.检测到会话cookie中缺少HttpOnly属性

由于在报告中明确的指出了是哪个接口 找到接口添加如下配置

cookie.setHttpOnly(true);

3.1.3.点击劫持：X-Frame-Options未配置

tomcat配置

进入tomcat目录下的conf，找到web.xml配置文件，搜索httpHeaderSecurity,
找到如下配置：


修改后结果：


::: details 点击查看代码

    <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
      <init-param>
        <param-name>antiClickJackingEnabled</param-name>
        <param-value>true</param-value>
      </init-param>
      <init-param>
        <param-name>antiClickJackingOption</param-name>
        <param-value>SAMEORIGIN</param-value>
      </init-param>
    </filter>

:::

修改之后，重启项目
浏览器访问接口可以看到：

即配置成功
这里有一个问题
配置http的响应头信息：属性名X-Frame-Options。
可以配置的参数有两个：

DENY：浏览器拒绝当前页面加载任何Frame页面。
SAMEORIGIN：页面只能加载入同源域名下的页面。

我配置的是第二个 但是访问接口却是第一个，不知道是什么原因。

springBoot项目

对于springBoot项目，可以使用添加过滤器的方式解决
::: details 点击查看代码

/**
* @Description: 解决 点击劫持：X-Frame-Options未配置
* @Param:
* @return:
* @Date: 2020/7/24
*/
@Component
public class CookieFrameFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        resp.addHeader("x-frame-options", "SAMEORIGIN");
        filterChain.doFilter(req, resp);
    }

    @Override
    public void destroy() {

    }
}

:::

修改后重启项目

配置成功
注意需要添加@Component注解，使改过滤器交由spring管理，否则不生效