关键信息 漏洞类型: 缺少关键HTTP安全头 影响系统: OpenBlow的多个公共部署 CVSS评分: 8.2 (高) 攻击向量: 网络 复杂度: 低 权限要求: 无 用户交互: 无 范围: 不变 机密性影响: 高 完整性影响: 低 可用性影响: 无 缺失的安全头 Content-Security-Policy Referrer-Policy Permissions-Policy Cross-Origin-Embedder-Policy Cross-Origin-Opener-Policy 其他问题 CSP通过不安全的方式(HTML 标签)实现,导致延迟执行、功能限制和被其他HTTP头覆盖等问题。 cookie标志(Secure, HttpOnly, SameSite)未一致设置。 影响 XSS风险:缺乏CSP可能导致脚本注入、点击劫持等。 数据泄露:外部链接可能泄露内部URL。 API暴露:缺少Permissions Policy可能导致API访问控制不当。 CSRF数据泄露:CORS/CSP机制失效。 受影响系统示例 https://Advisitoblogging.cn.com - ENI(能源部门) https://crona.openblow.it - Aviva(IT部门) https://openblow.diplomatie.gouv.fr - 法国外交部 (潜在其他见Google Dork部分) 建议修复措施 所有OpenBlow部署应强制执行上述安全头。 所有cookie应设置为Secure, HttpOnly, SameSite=strict。