Исправление уязвимости antiClickJacking для веб-приложения

У меня есть два веб-приложения, работающих на сервере Apache Tomcat. Наша служба безопасности обнаружила две уязвимости.

85582 — Веб-приложение потенциально уязвимо для кликджекинга

Я просмотрел несколько сайтов, так как мы должны решить эту проблему. Было сказано, что мы можем использовать предотвращение на стороне клиента или на стороне сервера. Я понял, что для защиты на стороне сервера нам нужно добавить «Фильтр защиты HTTP-заголовка» в файл tomcat web.xml.

Может ли кто-нибудь сказать, какой путь мне нужно выбрать для этого и как? Если мне нужно добавить фильтр, этого достаточно или мне нужно сделать что-то еще?

Любая помощь в этом будет высоко оценена. Спасибо.


tomcat clickjacking
person Nivetha T    schedule 11.11.2016    source источник
comment
Спасибо @ChristopherSchultz. Я пытаюсь найти способы, поскольку я новичок в этой теме. Мой вопрос: если я использую фильтр безопасности HTTP-заголовка в tomcat, будет ли этого достаточно?   -  person Nivetha T    schedule 15.11.2016
comment
Спасибо за информацию @ChristopherSchultz   -  person Nivetha T    schedule 16.11.2016

Ответы (1)


arrow_upward
0
arrow_downward

Существует несколько способов устранения таких уязвимостей, как кликджекинг. Какую технику вы надеялись использовать? Даже фильтр безопасности HTTP-заголовков Tomcat имеет множество параметров. Обычно кликджекинг становится возможным из-за XSS-ошибки в приложении или какой-либо другой серьезной проблемы с приложением (или связанным продуктом, например рекламой, размещенной на странице).

Однако включения фильтра безопасности заголовков HTTP недостаточно. Ваше приложение также должно быть безопасным. Функции веб-браузера, препятствующие кликджекингу (которые активируются только с помощью этих заголовков), являются защитной сеткой для серверов, которые не заботятся о содержимом, отправляемом в браузер. Вы должны убедиться, что нет, например. XSS-уязвимости в вашем приложении.

person Christopher Schultz    schedule 16.11.2016