Hallo zusammen,
ich habe eine Frage, zu der ich leider nichts finden konnte und selbst auch wirklich keine Idee habe.
Unsere NAS (DS1515+) werden im Firmennetzwerk eingesetzt. Dementsprechend wurden diese letztens mittels Nessus durchgescannt und es kam zum folgenden finding:
Web Application Potentially Vulnerable to Clickjacking
The remote web server does not set an X-Frame-Options response header in all content responses. This could potentially expose the site to a clickjacking or UI Redress attack wherein an attacker can trick a user into clicking an area of the vulnerable page that is different than what the user perceives the page to be. This can result in a user performing fraudulent or malicious transactions.
X-Frame-Options has been proposed by Microsoft as a way to mitigate clickjacking attacks and is currently supported by all major browser vendors.
Note that while the X-Frame-Options response header is not the only mitigation for clickjacking, it is currently the most reliable method to detect through automation. Therefore, this plugin may produce false positives if other mitigation strategies (e.g frame-busting JavaScript) are deployed or if the page does not perform any security-sensitive transactions.
Das Problem selbst ist klar. Allerdings wüsste ich nicht, wo man am NAS jetzt ansetzen soll um das Problem zu lösen.
Hat sich zufällig schon jemand damit auseinander gesetzt?
Vielen Dank
Gruß
ich habe eine Frage, zu der ich leider nichts finden konnte und selbst auch wirklich keine Idee habe.
Unsere NAS (DS1515+) werden im Firmennetzwerk eingesetzt. Dementsprechend wurden diese letztens mittels Nessus durchgescannt und es kam zum folgenden finding:
Web Application Potentially Vulnerable to Clickjacking
The remote web server does not set an X-Frame-Options response header in all content responses. This could potentially expose the site to a clickjacking or UI Redress attack wherein an attacker can trick a user into clicking an area of the vulnerable page that is different than what the user perceives the page to be. This can result in a user performing fraudulent or malicious transactions.
X-Frame-Options has been proposed by Microsoft as a way to mitigate clickjacking attacks and is currently supported by all major browser vendors.
Note that while the X-Frame-Options response header is not the only mitigation for clickjacking, it is currently the most reliable method to detect through automation. Therefore, this plugin may produce false positives if other mitigation strategies (e.g frame-busting JavaScript) are deployed or if the page does not perform any security-sensitive transactions.
Das Problem selbst ist klar. Allerdings wüsste ich nicht, wo man am NAS jetzt ansetzen soll um das Problem zu lösen.
Hat sich zufällig schon jemand damit auseinander gesetzt?
Vielen Dank
Gruß
.
