WEB应用扫描 ‘点击劫持’ 漏洞处理

漏洞描述：

点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

修复建议：

增加或设置HTTP头部选项X-Frame-Options值为DENY或SAMEORIGIN。

修复方法：

当出现应用访问路径存在点击劫持漏洞时候有以下两种处理方法：
1、，在服务器[tomcat]/conf/web.xml增加过滤器配置：
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<async-supported>true</async-supported>
<init-param>
<param-name>antiClickJackingEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>

2、在应用中增加拦截器，设置响应请求头:以springboot为例，编写过滤器类实现filter接口，

public class XFrameOptionsFilter implements Filter  {

private static Logger logger = LoggerFactory.getLogger(XFrameOptionsFilter.class);

private static final long serialVersionUID = 1L;

      @Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)

throws IOException, ServletException {

// TODO Auto-generated method stub

HttpServletResponse httpResp = (HttpServletResponse) response;

httpResp.addHeader("X-FRAME-OPTIONS","SAMEORIGIN"); 

filterChain.doFilter(request, httpResp);

}

}

在配置类中增加配置过滤器拦截 /* 路径，代码如下：

@Configuration

public class XssConfig{

 

@Bean

public FilterRegistrationBean xFrameOptionsFilterRegistrationBean(){

 

FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();

filterRegistrationBean.setFilter(new XFrameOptionsFilter());

filterRegistrationBean.setOrder(0);

filterRegistrationBean.addUrlPatterns("/*");

return filterRegistrationBean;

 

}

}

 

当扫描漏洞提示：

http://ip:port/manager/html/start
http://ip:port/manager/html/"><script>alert("sangfor")</script>
http://ip:port/manager/html/stop
处理方法：删除tomcat/webapps下的manager目录