大地移动理赔
  1. 大地移动理赔
  2. DDYDLP-3301

【车险】移动理赔系统渗透测试问题反馈

    问题详情

    • 项目环境:
      PRD
    1.
    【渗透测试项:HTTP X-Download-Options缺失】修复方案:设置过滤器增加响应头:res.addHeader("X-Download-Options","noopen"); 子任务 关闭 黄崔俊

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 1 天
    2.
    【渗透测试项:未授权访问】修复方案:服务端校验接口请求参数,未授权时返回401错误页面(地址在描述) 子任务 关闭 李振

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 6 秒
    3.
    【渗透测试项:Debug模式】修复方案:修改配置 子任务 关闭 赵书伟

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 2 小时
    4.
    【渗透测试项:不安全的错误提示】修复方案:移动理赔将登录错误信息统一返回“用户名或手机号错误”的文案 子任务 关闭 黄崔俊

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 1 天
    5.
    【渗透测试项:系统日志】修复方案:关闭日志输出 子任务 关闭 赵宇飞

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 2 小时
    6.
    【渗透测试项:HTTP Content-Security-Policy缺失】修复方案:设置过滤器增加响应头:res.addHeader("Content-Security-Policy","object-src 'self'"); 子任务 关闭 黄崔俊

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 1 天
    7.
    【渗透测试项:HTTP Strict-Transport-Security缺失】修复方案:设置过滤器增加响应头:res.addHeader("Strict-Transport-Security","max-age=63072000; includeSubdomains; preload"); 子任务 关闭 黄崔俊

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 1 天
    8.
    【渗透测试项:HTTP X-XSS-Protection缺失】修复方案:设置过滤器增加响应头:res.addHeader("X-XSS-Protection","1; mode=block"); 子任务 关闭 黄崔俊

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 1 天
    9.
    【渗透测试项:应用程序数据备份】修复方案:修改配置 子任务 关闭 赵书伟

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 2 小时
    10.
    【渗透测试项:越狱检测/越狱检测绕过】修复方案:iOS可判断手机是否为越狱机如果是越狱手机则无法使用APP 子任务 关闭 赵宇飞

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 2 小时
    11.
    【渗透测试项:HTTP Referrer-Policy缺失】修复方案:设置过滤器增加响应头:res.addHeader("Referrer-Policy","origin"); 子任务 关闭 黄崔俊

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 1 天
    12.
    【渗透测试项:HTTP X-Content-Type-Options缺失】修复方案:设置过滤器增加响应头:res.addHeader("X-Content-Type-Options","nosniff"); 子任务 关闭 黄崔俊

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 1 天
    13.
    【渗透测试项:HTTP X-Permitted-Cross-Domain-Policies缺失】修复方案:设置过滤器增加响应头:res.addHeader("X-Permitted-Cross-Domain-Policies","master-only"); 子任务 关闭 黄崔俊

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 1 天
    14.
    【渗透测试项:CORS跨域漏洞】修复方案:Access-Control-Allow-Origin设置源IP或域名的白名单 子任务 关闭 黄崔俊

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 1 天
    15.
    【渗透测试项:Logcat日志检查】修复方案:关闭日志输出 子任务 关闭 赵书伟

    100%

    原预估时间 - 尚未登记 原预估时间 - 尚未登记
    耗费时间 - 2 小时

      活动

      这个问题没有备注。

        用户

        • 经办人:
          黄崔俊
          报告人:
          陈金杰
        • 投票:
          0 为这个问题投票
          关注人:
          1 关注这个问题

          日期

          • 创建:
            更新:
            解决:

            时间追踪

            预估时间:
            原预估时间 - 尚未登记
            尚未登记
            剩余时间:
            剩余时间 - 0 分
            0m
            实际工作时间:
            耗费时间 - 2 周, 1 天, 2 小时, 6 秒
            2w 1d 2h