使用OWASP 2.6,我的攻击给出并警告:"x-content-type-options-header missing"作为警报。主要是css文件。
有人能告诉我如何将链接到php/html文件的css文件的头响应配置为index.php网页"吗?
在OWASP ZAP,2.6中,软件进行渗透测试/扫描。它发现了什么发现"缺陷"并将其报告给用户。我的情况是,我正在进行渗透测试,但没有将我的firefox浏览器置于渗透测试模式或"手动代理"就像它说的那样。我只是忘记了切换模式。我发现论坛为我们初学者提供了更多的信息。我很感激。我只是在我的索引和其他应用它的网页中添加了以下标题。根据有问题的安全问题,在索引页的顶部添加以下标题代码等:
header('Content-Type: text/html');
header('X-Content-Type-Options: nosniff', false);
//stop cacheing of page
header("Cache-Control: no-store, no-cache, must-revalidate"); // HTTP/1.1
header("Cache-Control: post-check=0, pre-check=0", false);
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); // Date in the past
header("Pragma: no-cache"); // HTTP/1.0
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("X-XSS-Protection: 1");
header("X-Frame-Options: SAMEORIGIN");
这涉及到不同网站页面上的两个潜在安全问题:
Web浏览器XSS保护未启用
X-Content-Type-Options标头缺少
它"可能"不适用于css内容的情况。然而,你更了解你的应用程序/网站。可能存在相关的环境或功能。
最终,您可以作为用户进行通话。这就是为什么发现的严重性是可修改的(包括假阳性),以及为什么有警报的过滤器扩展。
ZAP用户组可以在这里找到,以研究有关ZAP的问题:https://groups.google.com/forum/#!论坛/zaproxy用户