美团云这波操作是为了啥? “ [美团云] 公安部排查安全漏洞限期整改通知” 漏洞名称:X-Frame-Options 头未设置,也算是漏洞吗??

2018-07-24 13:57:29 +08:00
 Alwaysonline
[美团云] 公安部排查安全漏洞限期整改通知

尊敬的美团云用户:

根据公安部要求监管部门针对美团云用户进行了安全漏洞排查,检测发现您的域名 123456789.com 对应的主机存在安全漏洞,请您根据漏洞提示进行修补,我们会在 8 月 7 日后对您所属 ip 进行复查,如漏洞未修复会再次告知您修复漏洞并在 8 月 10 日再次复查,如未修复漏洞我们将暂时关停您所属 ip 业务。请您重视此次漏洞修复。


我们会持续关注您的服务器安全,为您提供优质、高效、经济、安全的服务,感谢您对美团云一直以来的支持。
如有任何疑问,您可以随时拨打电话:400-0800-170 或提交工单与我们联系


漏洞描述如下:
id:1
ip:43.XXX.XXX.XXX
漏洞 url:https://123456789.com:443
漏洞名称:X-Frame-Options 头未设置
概要:攻击者可以使用一个透明的、不可见的 iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的 iframe 页面。通过调整 iframe 页面的位置,可以诱使用户恰好点击 iframe 页面的一些功能性按钮上,导致被劫持。

详情描述:目标服务器没有返回一个 X-Frame-Options 头。

解决建议:修改 web 服务器配置,添加 X-frame-options 响应头。
赋值有如下三种:
( 1 ) DENY:不能被嵌入到任何 iframe 或 frame 中。
( 2 ) SAMEORIGIN:页面只能被本站页面嵌入到 iframe 或者 frame 中。
( 3 ) ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代码中加入,在 PHP 中加入:header(X-Frame-Options: deny);


美团云
3725 次点击
所在节点    全球工单系统
15 条回复
Raynard
2018-07-24 14:02:32 +08:00
加个 http 头值不就完事了。。
feverzsj
2018-07-24 14:04:56 +08:00
说你是,你就是
OSF2E
2018-07-24 14:11:16 +08:00
我更关注你的域名
jmk92
2018-07-24 14:37:48 +08:00
域名好清流啊
airyland
2018-07-24 15:03:39 +08:00
同收到,虽然有点严格,还是顺手改一改。
opengps
2018-07-24 15:06:30 +08:00
恐怕也就你们美团云老用户还在继续收到各种通知,其实他是在等你们迁走或者停止使用
nciyuan
2018-07-24 15:47:09 +08:00
楼主,centos apache test page,美团傻逼了吧,和阿里云云骑士一样.......
yexm0
2018-07-24 16:09:19 +08:00
这是在想办法让你滚蛋呢
hundan
2018-07-24 16:11:19 +08:00
你说这算漏洞吗
对于这个问题:算
点击劫持
不过有点严格说实话
bfpiaoran
2018-07-24 18:20:31 +08:00
这就算是漏洞 和美团云有个 jb 关系
mringg
2018-07-24 18:28:46 +08:00
不修复不行,搞笑呢
WordTian
2018-07-24 18:40:19 +08:00
估计他们是用扫描器批量扫的,完了就直接发给用户了

这个问题在各大扫描器里评级都是低危
Alwaysonline
2018-07-24 18:41:52 +08:00
“我们会在 8 月 7 日后对您所属 ip 进行复查,如漏洞未修复会再次告知您修复漏洞并在 8 月 10 日再次复查,如未修复漏洞我们将暂时关停您所属 ip 业务。”

不偷不抢的,还动不动威胁关停啊
cqhme
2018-07-24 19:12:21 +08:00
好像 以公安的名义 美团不是第一次了吧 没记错的话
chinvo
2018-07-25 00:46:05 +08:00
关停公有云业务的正常操作,你可以问他们要公安部文件原件

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/473662

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX