唉踢皇家藍 IT Royal Blue

Web Server Misconfiguration: HTTP Basic Authentication (HTTP Basic Logins Sent Over Unencrypted Connection) Web 服務器配置錯誤：HTTP 基本身份驗證（通過未加密連接發送的 HTTP 基本登錄）  Description: Any area of a web application that possibly contains sensitive information or access to privileged functionality such as remote site administration functionality should utilize SSL or another form of encryption to prevent login information from being sniffed or otherwise intercepted or stolen. ~FullURL~ has failed this policy.  Recommendations include ensuring that sensitive areas of your web application have proper encryption protocols in place to prevent login information and other data that could be helpful to an attacker from being intercepted. An attacker who exploited this design vulnerability would be able to utilize the information to escalate their method of attack, possibly leading to impersonation of a legitimate user, the theft of proprietary data, or execution of actions not intended by the applicat...

  頂醫：台大、陽明 後段：成功、北醫、長庚 墊底：其他 地下室：中山、慈濟 茅坑：義守　台大電資 化糞池：其他頂大電資　中字電資 下水道：頂大中字其他理工科系　 汙水處理站：國立文組　其他學校理工科 外海：其它文組　私立科大 以上只有　文組、科立科大是清流

跨框架腳本(XFS)漏洞使攻擊者能夠在惡意頁面的 HTMLiframe 標記內加載易受攻擊的應用程序。攻擊者可以使用此漏洞設計點擊劫持攻擊，以實施釣魚式攻擊、框架探查攻擊、社會工程攻擊或跨站點請求偽造攻擊。其他網站會在他的iframe中調用我的網站內容，來截取他人的點擊事件或者竊取他人敏感信息。 網站弱點掃描如果有列到Cross-Frame Scripting這一項，並提到「此 URL 可被嵌入在測試 網頁的框架中，惡意攻擊者可於框架外建立釣魚頁面，進而騙取使用者做出意想之外的行為，建議與 AP 廠商確認與修補。」那就表示你的網站可以被其他網頁以iframe或其他網頁frame的方式假裝是你的網站，進行騙取民眾的帳號、密碼之類的個資資料。 可以參考這篇文章的處理方式，依你的伺服器類型來處理 https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options 設定 Apache 請加入以下指令到網站組態設定檔： Header always append X-Frame-Options SAMEORIGIN ServerRoot "/etc/httpd" DocumentRoot "/srv/www/htdocs" Alias /download/ "/home/cht_s/" DirectoryIndex index.html X-Frame-Options 這是為了防止IFrame式Clickjacking攻擊，Browser設定的一種規範 規範 資安議題 防止釣魚網站透過iframe來籤入自己的網站。並且在iframe上面埋一個隱形的DIV，欺騙使用者。 這是瀏覽器的安全防護特性之一，限制符合同源政策的網頁才能用IFrame、Frame或Object內嵌這個網頁。 防止網頁被內嵌目的在防止IFrame式Clickjacking攻擊（註：點擊刧持還有其他形式，本文只聚焦透過IFrame攻擊的手法）， 避免惡意網頁將你的網頁疊加在一般按鈕或連結上方誘使使用者點擊，不知不覺完成開放權限、身份確認… 等操作。 隨便調查一下，發現不只Google，像Facebook、Twitter、Yahoo這些大網站也紛紛在HTTP Header加入...