Registro de novos usuários desabilitado por tempo indeterminado.
O Fórum irá passar por mudanças nos próximos meses começando pela inativação de usuários que não participam ou contribuem com conteúdo.

Acompanhe em https://www.facebook.com/groups/endian.firewall/

[Nessus] Web Application Potentially Vulnerable to Clickjacking

A segurança da informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.
Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.

Avatar do usuário
marceloleaes
Administrator
Administrator
Mensagens: 1402
Registrado em: 10 Jun 2013 12:45
Localização: Novo Hamburgo
Sexo: Masculino - Masculino
Idade: 35
Contato:
Status: Offline

[Nessus] Web Application Potentially Vulnerable to Clickjacking

Mensagem por marceloleaes » 17 Fev 2016 20:51

Description

The remote web server does not set an X-Frame-Options response header
in all content responses. This could potentially expose the site to a
clickjacking or UI Redress attack wherein an attacker can trick a user
into clicking an area of the vulnerable page that is different than
what the user perceives the page to be. This can result in a user
performing fraudulent or malicious transactions.

X-Frame-Options has been proposed by Microsoft as a way to mitigate
clickjacking attacks and is currently supported by all major browser vendors.
Note that while the X-Frame-Options response header is not the only mitigation
for clickjacking, it is currently the most reliable method to detect through automation.
Therefore, this plugin may produce false positives if other mitigation strategies
(e.g frame-busting JavaScript) are deployed or if the page does not perform any
security-sensitive transactions.

Solution

Return the X-Frame-Options HTTP header with the page's response.
This prevents the page's content from being rendered by another site
when using the frame or iframe HTML tags.

Resolução do problema base CentOS / Red Hat Linux para servidor Apache

No httpd.conf localizar a sessão Directory /var/www/html/ ou equivalente, se o Apache tiver virtual hosts deve ser adicionado em todos os virtual hosts carregados e habilitados. Adicionar:

Código: Selecionar todos

Header always append X-Frame-Options SAMEORIGIN
Solução Microsoft IIS 6,7 e 8

No web.config adicionar:

Código: Selecionar todos

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>


"Transportai um punhado de terra todos os dias e fareis uma montanha." Confúcio

Responder

Voltar para “Segurança da Informação”

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 1 visitante