V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
Alwaysonline
V2EX  ›  全球工单系统

美团云这波操作是为了啥? “ [美团云] 公安部排查安全漏洞限期整改通知” 漏洞名称:X-Frame-Options 头未设置,也算是漏洞吗??

  •  
  •   Alwaysonline · 2018-07-24 13:57:29 +08:00 · 3743 次点击
    这是一个创建于 2322 天前的主题,其中的信息可能已经有所发展或是发生改变。
    [美团云] 公安部排查安全漏洞限期整改通知

    尊敬的美团云用户:

    根据公安部要求监管部门针对美团云用户进行了安全漏洞排查,检测发现您的域名 123456789.com 对应的主机存在安全漏洞,请您根据漏洞提示进行修补,我们会在 8 月 7 日后对您所属 ip 进行复查,如漏洞未修复会再次告知您修复漏洞并在 8 月 10 日再次复查,如未修复漏洞我们将暂时关停您所属 ip 业务。请您重视此次漏洞修复。


    我们会持续关注您的服务器安全,为您提供优质、高效、经济、安全的服务,感谢您对美团云一直以来的支持。
    如有任何疑问,您可以随时拨打电话:400-0800-170 或提交工单与我们联系


    漏洞描述如下:
    id:1
    ip:43.XXX.XXX.XXX
    漏洞 url:https://123456789.com:443
    漏洞名称:X-Frame-Options 头未设置
    概要:攻击者可以使用一个透明的、不可见的 iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的 iframe 页面。通过调整 iframe 页面的位置,可以诱使用户恰好点击 iframe 页面的一些功能性按钮上,导致被劫持。

    详情描述:目标服务器没有返回一个 X-Frame-Options 头。

    解决建议:修改 web 服务器配置,添加 X-frame-options 响应头。
    赋值有如下三种:
    ( 1 ) DENY:不能被嵌入到任何 iframe 或 frame 中。
    ( 2 ) SAMEORIGIN:页面只能被本站页面嵌入到 iframe 或者 frame 中。
    ( 3 ) ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代码中加入,在 PHP 中加入:header(X-Frame-Options: deny);


    美团云
    15 条回复    2018-07-25 00:46:05 +08:00
    Raynard
        1
    Raynard  
       2018-07-24 14:02:32 +08:00
    加个 http 头值不就完事了。。
    feverzsj
        2
    feverzsj  
       2018-07-24 14:04:56 +08:00
    说你是,你就是
    OSF2E
        3
    OSF2E  
       2018-07-24 14:11:16 +08:00
    我更关注你的域名
    jmk92
        4
    jmk92  
       2018-07-24 14:37:48 +08:00
    域名好清流啊
    airyland
        5
    airyland  
       2018-07-24 15:03:39 +08:00
    同收到,虽然有点严格,还是顺手改一改。
    opengps
        6
    opengps  
       2018-07-24 15:06:30 +08:00
    恐怕也就你们美团云老用户还在继续收到各种通知,其实他是在等你们迁走或者停止使用
    nciyuan
        7
    nciyuan  
       2018-07-24 15:47:09 +08:00 via Android
    楼主,centos apache test page,美团傻逼了吧,和阿里云云骑士一样.......
    yexm0
        8
    yexm0  
       2018-07-24 16:09:19 +08:00 via iPhone
    这是在想办法让你滚蛋呢
    hundan
        9
    hundan  
       2018-07-24 16:11:19 +08:00 via Android
    你说这算漏洞吗
    对于这个问题:算
    点击劫持
    不过有点严格说实话
    bfpiaoran
        10
    bfpiaoran  
       2018-07-24 18:20:31 +08:00
    这就算是漏洞 和美团云有个 jb 关系
    mringg
        11
    mringg  
       2018-07-24 18:28:46 +08:00 via iPhone
    不修复不行,搞笑呢
    WordTian
        12
    WordTian  
       2018-07-24 18:40:19 +08:00 via Android
    估计他们是用扫描器批量扫的,完了就直接发给用户了

    这个问题在各大扫描器里评级都是低危
    Alwaysonline
        13
    Alwaysonline  
    OP
       2018-07-24 18:41:52 +08:00
    “我们会在 8 月 7 日后对您所属 ip 进行复查,如漏洞未修复会再次告知您修复漏洞并在 8 月 10 日再次复查,如未修复漏洞我们将暂时关停您所属 ip 业务。”

    不偷不抢的,还动不动威胁关停啊
    cqhme
        14
    cqhme  
       2018-07-24 19:12:21 +08:00 via Android
    好像 以公安的名义 美团不是第一次了吧 没记错的话
    chinvo
        15
    chinvo  
       2018-07-25 00:46:05 +08:00 via iPhone
    关停公有云业务的正常操作,你可以问他们要公安部文件原件
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   988 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 19:16 · PVG 03:16 · LAX 11:16 · JFK 14:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.