工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
美团云这波操作是为了啥? “ [美团云] 公安部排查安全漏洞限期整改通知” 漏洞名称:X-Frame-Options 头未设置,也算是漏洞吗??
Alwaysonline · 2018-07-24 13:57:29 +08:00 · 3729 次点击这是一个创建于 2314 天前的主题,其中的信息可能已经有所发展或是发生改变。
[美团云] 公安部排查安全漏洞限期整改通知
尊敬的美团云用户:
根据公安部要求监管部门针对美团云用户进行了安全漏洞排查,检测发现您的域名 123456789.com 对应的主机存在安全漏洞,请您根据漏洞提示进行修补,我们会在 8 月 7 日后对您所属 ip 进行复查,如漏洞未修复会再次告知您修复漏洞并在 8 月 10 日再次复查,如未修复漏洞我们将暂时关停您所属 ip 业务。请您重视此次漏洞修复。
我们会持续关注您的服务器安全,为您提供优质、高效、经济、安全的服务,感谢您对美团云一直以来的支持。
如有任何疑问,您可以随时拨打电话:400-0800-170 或提交工单与我们联系
漏洞描述如下:
id:1
ip:43.XXX.XXX.XXX
漏洞 url:https://123456789.com:443
漏洞名称:X-Frame-Options 头未设置
概要:攻击者可以使用一个透明的、不可见的 iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的 iframe 页面。通过调整 iframe 页面的位置,可以诱使用户恰好点击 iframe 页面的一些功能性按钮上,导致被劫持。
详情描述:目标服务器没有返回一个 X-Frame-Options 头。
解决建议:修改 web 服务器配置,添加 X-frame-options 响应头。
赋值有如下三种:
( 1 ) DENY:不能被嵌入到任何 iframe 或 frame 中。
( 2 ) SAMEORIGIN:页面只能被本站页面嵌入到 iframe 或者 frame 中。
( 3 ) ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代码中加入,在 PHP 中加入:header(X-Frame-Options: deny);
美团云
尊敬的美团云用户:
根据公安部要求监管部门针对美团云用户进行了安全漏洞排查,检测发现您的域名 123456789.com 对应的主机存在安全漏洞,请您根据漏洞提示进行修补,我们会在 8 月 7 日后对您所属 ip 进行复查,如漏洞未修复会再次告知您修复漏洞并在 8 月 10 日再次复查,如未修复漏洞我们将暂时关停您所属 ip 业务。请您重视此次漏洞修复。
我们会持续关注您的服务器安全,为您提供优质、高效、经济、安全的服务,感谢您对美团云一直以来的支持。
如有任何疑问,您可以随时拨打电话:400-0800-170 或提交工单与我们联系
漏洞描述如下:
id:1
ip:43.XXX.XXX.XXX
漏洞 url:https://123456789.com:443
漏洞名称:X-Frame-Options 头未设置
概要:攻击者可以使用一个透明的、不可见的 iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的 iframe 页面。通过调整 iframe 页面的位置,可以诱使用户恰好点击 iframe 页面的一些功能性按钮上,导致被劫持。
详情描述:目标服务器没有返回一个 X-Frame-Options 头。
解决建议:修改 web 服务器配置,添加 X-frame-options 响应头。
赋值有如下三种:
( 1 ) DENY:不能被嵌入到任何 iframe 或 frame 中。
( 2 ) SAMEORIGIN:页面只能被本站页面嵌入到 iframe 或者 frame 中。
( 3 ) ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代码中加入,在 PHP 中加入:header(X-Frame-Options: deny);
美团云
 |
1
Raynard 2018-07-24 14:02:32 +08:00
加个 http 头值不就完事了。。
|
 |
2
feverzsj 2018-07-24 14:04:56 +08:00
说你是,你就是
|
 |
3
OSF2E 2018-07-24 14:11:16 +08:00
我更关注你的域名
|
 |
4
jmk92 2018-07-24 14:37:48 +08:00
域名好清流啊
|
 |
5
airyland 2018-07-24 15:03:39 +08:00
同收到,虽然有点严格,还是顺手改一改。
|
 |
6
opengps 2018-07-24 15:06:30 +08:00
恐怕也就你们美团云老用户还在继续收到各种通知,其实他是在等你们迁走或者停止使用
|
 |
7
nciyuan 2018-07-24 15:47:09 +08:00 via Android
楼主,centos apache test page,美团傻逼了吧,和阿里云云骑士一样.......
|
 |
8
yexm0 2018-07-24 16:09:19 +08:00 via iPhone
这是在想办法让你滚蛋呢
|
 |
9
hundan 2018-07-24 16:11:19 +08:00 via Android
你说这算漏洞吗
对于这个问题:算 点击劫持 不过有点严格说实话 |
 |
10
bfpiaoran 2018-07-24 18:20:31 +08:00
这就算是漏洞 和美团云有个 jb 关系
|
 |
11
mringg 2018-07-24 18:28:46 +08:00 via iPhone
不修复不行,搞笑呢
|
 |
12
WordTian 2018-07-24 18:40:19 +08:00 via Android
估计他们是用扫描器批量扫的,完了就直接发给用户了
这个问题在各大扫描器里评级都是低危 |
 |
13
Alwaysonline OP “我们会在 8 月 7 日后对您所属 ip 进行复查,如漏洞未修复会再次告知您修复漏洞并在 8 月 10 日再次复查,如未修复漏洞我们将暂时关停您所属 ip 业务。”
不偷不抢的,还动不动威胁关停啊 |
 |
14
cqhme 2018-07-24 19:12:21 +08:00 via Android
好像 以公安的名义 美团不是第一次了吧 没记错的话
|
 |
15
chinvo 2018-07-25 00:46:05 +08:00 via iPhone
关停公有云业务的正常操作,你可以问他们要公安部文件原件
|
Select Language