我们的一家安全审计公司使用我们自定义托管的 AWS 实时实例执行了安全审计。此安全审计是使用灰盒方法执行的。灰盒测试是指测试人员对被攻击系统的了解有限的方法。灰盒渗透测试的目标是模拟恶意用户或外部网络攻击
以下是安全审计的一些主要发现的简短摘要
1.基于时间的账户枚举
类别:枚举
一个有效的帐户大约需要。服务器响应登录需要 300-400 毫秒。无效帐户需要服务器 100-120 毫秒才能响应登录。这种时间差异可以确定帐户的存在
缓解 - (降低严重性的行动)
- 重构身份验证代码以确保在相同的持续时间内处理登录事务。
- 避免提供有关 Web 应用程序中可能存在或不存在哪些帐户的任何详细信息
2. 缺少站点范围的 CSRF 令牌
类别:不正确的数据验证
CSRF 令牌在密码重置、添加帐户等关键/敏感操作中丢失。
缓解 - (降低严重性的行动)
确保所有 Web 应用程序表单提交都使用 CSRF 令牌
3.无异常处理,调试模式下的服务器抛出内部python错误
类别:错误配置/信息泄露
发送到客户端的堆栈跟踪和错误日志将允许攻击者获取有关 Web 服务器系统的有价值信息
缓解 - (降低严重性的行动)
- 在生产环境中运行 Web 应用程序时,强烈建议禁用调试模式 - 通过集成适当的异常处理和故障保险来防止在响应中共享系统信息
4. 缺少会话 Cookie 安全标志
类别:不正确的会话管理
会话 cookie session_id 未使用 Secure、HTTP_ONLY、SameSite 标志设置。
缓解 - (降低严重性的行动)
在通过 HTTPS 访问内容时,应在所有用于传输敏感数据的 cookie 上设置安全标志。如果 cookie 用于传输会话令牌,则通过 HTTPS 访问的应用程序区域应使用其自己的会话处理机制,并且所使用的会话令牌绝不应通过未加密的通信传输。
5.Wildcard CORS Policy 允许从任何来源访问
类别:错误配置
跨域资源共享 (CORS) 是一种基于 HTTP 标头的机制,它允许服务器指示除其自身之外的任何来源(域、方案或端口),浏览器应允许从中加载资源。
缓解 - (降低严重性的行动)
为了降低 CORS 的风险,我们始终建议将您的 Access-Control-Allow-Origin 列入白名单,而不是使用通配符。通过白名单,您的 Access-Control-Allow-Origin 的范围将仅限于直接与您的主站点或 API 打交道的站点,并排除您的任何不这样做的站点。
请指导我如何从技术角度实现所有这些并克服所有这些情况