过三级等保时漏洞扫描提示http跟踪XSS攻击

Saber 已结 1 935
yuanmomo
yuanmomo 剑圣 2021-09-28 17:09

一、该问题的重现步骤是什么?

过三级等保时漏洞扫描提示http跟踪XSS攻击


详细提示

CVE编号
CVE-2004-2320, CVE-2003-1567
CNVD编号
CNVD-2014-04891
CNNVD编号
CNNVD-200412-533, CNNVD-200901-175
Bugtraq编号
9506, 33374
漏洞描述
CVE-2004-2320:BEA WebLogic Server和Express 8.1 SP2及其以前的版本,7.0 SP4及其以前的版本,
6.1至SP6,和5.1至SP13版本的默认配置响应HTTP TRACE请求,远程攻击者使用跨站跟踪攻击(XST)盗取信息,
该攻击在易受跨站脚本影响的应用进程中。 CVE-2003-1567:Microsoft IIS是一款微软开发的WEB服务程序。
Microsoft Internet Information Services (IIS) 5.0版本中的无正式文件的TRACK方法会在响应正文中返还原始请求的内容,
这使得远程攻击者可以通过使用TRACK读取HTTP头的内容,来窃取cookies和身份认证信任证书,或绕过HttpOnly保护机制。
HTTP头会在响应在反馈回来。在技术上,该漏洞与跨站脚本攻击漏洞相似。


使用得springboot版本

#xss配置 中添加了几个放行接口,业务中有富文本得编辑

蛮烦问下笔者或者大家有没有遇到过这个问题  怎么才能解决这个问题呢? 暂时去除所有xss放行接口?



1条回答
  •  admin
    admin (最佳回答者)
    2021-09-29 13:23

    为了过等保,你可以把权限和xss防御拉满,不要有任何放行

    0 讨论(1)
提交回复