【敏捷版】ALB漏洞处理方案_汇总
【版本】:alb敏捷版
注意事项:
1、修复方案是参考nginx进行查阅的,配置几乎一致,只需要注意nginx.conf对应alb.conf即可;
2、修复案例,是基于location /站点配置演示的,实际配置时请根据漏洞报告的实际站点(location)进行配置,另外关于请求及响应头处理的配置,若需全局生效(即所有location站点都生效),可在http模块中配置;
3、有些配置可能不能直接复用,需根据实际业务环境进行针对处理;
4、有些漏洞的处理,由于过保策略比较严格,可能会影响到业务,请按需配置;
| 序号 | 漏洞事项 |
|---|---|
| 1 |
HTTP Strict-Transport-Security头缺失或不安全 |
| 2 |
“Content-Security-Policy”头缺失 |
| 3 |
“X-Content-Type-Options”头缺失或不安全 |
| 4 |
主机头注入攻击 |
| 5 |
具有不安全、不正确或缺少 SameSite 属性的 Cookie |
| 6 |
发现可高速缓存的 SSL 页面 |
| 7 |
在应用程序中发现不必要的 Http 响应头 |
| 8 |
检测到隐藏目录 |
| 9 |
跨站点请求伪造 |
| 10 |
加密会话(SSL)Cookie中缺少Secure属性 |
【修复方案】:请参考附件
| ALB敏捷版-漏洞修复.docx (1.35 MB) ALB敏捷版-漏洞修复.docx |