遺漏「X-Frame-Options」標頭
low Web App Scanning Plugin ID 98060
語系:
概要
遺漏「X-Frame-Options」標頭說明
點擊劫持 (使用者介面修正攻擊、UI 修正攻擊、UI 修正) 是一種誘騙 Web 使用者點擊不同於預期點擊內容的惡意技術,當使用者按一下看似無害的網頁時,可能會導致機密資訊遭洩漏或電腦被控制。伺服器未傳回「X-Frame-Options」標頭,這表示此網站可能會遭受點擊劫持攻擊。
「X-Frame-Options」HTTP 回應標頭可用來指示是否應允許瀏覽器轉譯框架或 iframe 內的頁面。網站可藉此確保其內容不會內嵌到其他網站中,進而避免點擊劫持攻擊。
解決方案
將 Web 伺服器設定為包含「X-Frame-Options」標頭。另請參閱
http://tools.ietf.org/html/rfc7034
https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
Plugin 詳細資訊
嚴重性: Low
ID: 98060
類型: remote
已發布: 2017/3/31
已更新: 2024/3/25
掃描範本: basic, config_audit, full, overview, pci, quick, scan
風險資訊
VPR
風險因素: Low
分數: 2.2
CVSS v2
風險因素: Low
基本分數: 2.6
媒介: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: Low
基本分數: 3.1
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N
CVSS 評分資料來源: Tenable
參考資訊
OWASP: 2010-A6, 2013-A5, 2017-A6, 2021-A4, 2021-A7
WASC: Application Misconfiguration
CAPEC: 103, 111, 141, 142, 160, 181, 21, 222, 384, 385, 386, 387, 388, 504, 506, 510, 59, 60, 654, 75, 76, 89
DISA STIG: APSC-DV-002560
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.10.1, 27001-A.14.2.5
NIST: sp800_53-CM-6b, sp800_53-SI-10(5)
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-14.4.3, 4.0.2-14.4.7