创建部署问题时,请参考下面模板,你提供的信息越多,越容易及时获得解答。如果未按模板创建问题,管理员有权关闭问题。
确保帖子格式清晰易读,用 markdown code block 语法格式化代码块。
你只花一分钟创建的问题,不能指望别人花上半个小时给你解答。
Plugin Name Family Severity Protocol Port Description Solution CGI 通用 HTML 注入(快速测试) CGI abuses : XSS Medium TCP 30880 托管 CGI 脚本的远程 Web 服务器无法对包含恶意 JavaScript 的请求字符串进行足够的审查。通过利用此问题,攻击者可以在受影响站点的安全环境内的用户浏览器中执行任意 HTML。远程网页服务器容易受到 IFRAME 注入或跨站脚本攻击的影响:- IFRAME 注入允许“虚拟损毁”,可能会让用户恐慌,或激怒易受骗的用户。这些注入有时会针对“钓鱼攻击”攻击实现。- XSS 会由其他四个脚本广泛测试。- 某些应用程序(例如,Web 论坛)会授权 HTML 的子集,而没有任何不良影响。在此情况下,请忽略此警告。 请限制对有漏洞的应用程序的访问或联系供应商以获取更新。 通过 Web 服务器泄露 .bash_history 文件 CGI abuses Medium TCP 9100 Nessus 检测到远程 Web 服务器中托管可公开访问的文件,文件内容可能指示典型的 bash 历史记录。此类文件中可能包含不应披露给公众的敏感信息。 请确认此类文件不包含任何机密或其他敏感信息,并且仅有具备有效凭据的用户才能访问这些文件。 通过 Web 服务器泄露 .bash_history 文件 CGI abuses Medium TCP 9103 Nessus 检测到远程 Web 服务器中托管可公开访问的文件,文件内容可能指示典型的 bash 历史记录。此类文件中可能包含不应披露给公众的敏感信息。 请确认此类文件不包含任何机密或其他敏感信息,并且仅有具备有效凭据的用户才能访问这些文件。 通过 Web 服务器泄露 .bash_history 文件 CGI abuses Medium TCP 32319 Nessus 检测到远程 Web 服务器中托管可公开访问的文件,文件内容可能指示典型的 bash 历史记录。此类文件中可能包含不应披露给公众的敏感信息。 请确认此类文件不包含任何机密或其他敏感信息,并且仅有具备有效凭据的用户才能访问这些文件。 Web 应用程序可能容易遭受点击劫持攻击。 Web Servers Medium TCP 31670 远程 Web 服务器未设置所有内容响应中的 X-Frame-Options 响应头或 Content-Security-Policy“frame-ancestors”响应头。这可能将站点暴露给点击劫持或 UI redress 攻击,其中攻击者可诱骗用户点击不同于预期的易受攻击的页面区域。这可导致用户执行欺骗性或恶意交易。
X-Frame-Options 已被 Microsoft 推荐为缓解点击劫持攻击的方法,目前受所有主要浏览器供应商支持。
Content-Security-Policy (CSP) 已被 W3C Web 应用安全工作组推荐为缓解点击劫持攻击和其他攻击的方法,受到越来越多主要浏览器供应商的支持。“frame-ancestors”策略指令限制哪些来源可对受保护资源进行嵌入。
请注意,X-Frame-Options 和 Content-Security-Policy 响应头虽然并非缓解点击劫持仅有的两种方法,但它们是目前能够被自动检测的最可靠的方法。因此,如果部署了其他缓解策略(如 frame-busting JavaScript)或页面未执行任何安全敏感交易,则此插件可能产生误报。 返回 X-Frame-Options 或 Content-Security-Policy(使用 “frame-ancestors”指令)HTTP 标头及页面的响应。
这防止了在使用帧或 iframe HTML 标记时页面内容被其他站点渲染。 默认 nginx HTTP 服务器设置 Web Servers Medium TCP 38081 远程 Web 服务器包含诸如启用服务器标记和/或默认文件的默认设置,例如默认索引或错误页面。这些项可能会泄露与服务器安装相关的有用信息。 禁用服务器标记。查看文件并视需要替换或删除
