安全测试报告解读

最新推荐文章于 2023-07-20 12:01:34 发布
最新推荐文章于 2023-07-20 12:01:34 发布
阅读量5.4k 收藏 6
点赞数
文章标签: 测试 javascript sql 脚本 blog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dipolar/article/details/8024897
版权
本文基于AppScan8.6的安全测试报告进行解读,涵盖包括SQL注入、跨站脚本、敏感信息泄露等风险点,并提出相应的修订建议,如使用SSL、去除敏感信息、设置HttpOnly属性等。同时,报告也揭示了后端代码中如单例竞争、不安全随机数等问题,为提升应用程序安全性提供指导。
摘要由CSDN通过智能技术生成

       具体工作情景上篇Blog说了,此处不多赘言,写这篇,是因为后来我想起来这个测试报告的信息量很大,值得学习一下报告本身的一些技术内容,写这个blog就是这个个学习的过程。

       这个报告由AppScan8.6扫描得出,主要分为以下问题类型:

        修订建议
n Review possible solutions for hazardous character injection
n 发送敏感信息时,始终使用 SSL 和 POST(主体)参数。
n 除去 HTML 注释中的敏感信息
n 除去 Web 站点中的电子邮件地址
n 除去 Web 站点中的内部 IP 地址
n 除去服务器中的测试脚本
n 除去客户端中的业务逻辑和安全逻辑
n 将“autocomplete”属性正确设置为“off”
n 为 Web 服务器或 Web 应用程序下载相关的安全补丁
n 向所有会话 cookie 添加“HttpOnly”属性
n 验证参数值是否在其预计范围和类型内。不要输出调试错误消息和异常
咨询
n SQL 盲注
n SQL 注入
n 跨站点脚本编制
n 使用 SQL 注入的认证旁路
n 已解密的登录请求
n 链接注入(便于跨站请求伪造)
n 通过框架钓鱼
n 发现数据库错误模式
n 会话 cookie 中缺少 HttpOnly 属性
n 自动填写未对密码字段禁用的 HTML 属性
n HTML 注释敏感信息泄露
n 发现电子邮件地址模式
n 发现可能的服务器路径泄露模式
n 发现内部 IP 泄露模式
n 检测到应用程序测试脚本
n 客户端(Java

最低0.47元/天 解锁文章
「已注销」
关注
安全报告处理 HCL AppScan Standard
风起未来
07-26 2292
SQL 盲注 这里运用 sql转义字符来处理了 “Content-Security-Policy”头缺失或不安全 过滤器中Header HttpServletResponse res = (HttpServletResponse)args1; res.setHeader("Content-Security-Policy", "script-src * 'unsafe-inline' 'unsafe-eval';frame-ancestors 'self'; object-src 'self'")
参数验证
地推
10-23 584
系统调用必须仔细检查它们所有的参数是否合法有效。举例来说,与文件I/O相关的系统调用必须检查文件描述符是否有效。与进程相关的函数必须检查提供的PID是否有效。必须检查每个参数,保证它们不但合法有效,而且正确。 最重要的一种检查就是检查用户提供的指针是否有效。试想,如果一个进程可以给内核传递指针而又无须被检查,那么它就可以给出一个它根本就没有访问权限的指针,哄骗内核去为它拷贝本不允许它访问的数据,如原本属于其他进程的数据。在接收一个用户空间的指针之前,内核必须保证: 指针指向的内存区域属于用户空间。进程决
基于Appscan扫描漏洞修复方案
最新发布
weixin_46659330的博客
07-20 4416
基于Appscan扫描发现的漏洞,以及风险分析,解决方案
安全测试报告
06-13
系统安全测试报告
AppScan安全扫描问题解决方案
weixin_43988600的博客
02-23 7019
本人遇见过的扫描漏洞解决方案。 一、查询中的密码参数 【解决方案】 password是关键字,把passwod的传参名称改为pcode或其他名称。 风险: 可能会窃取查询字符串中发送的敏感数据,例如用户名和密码 原因: SSL(安全套接字层)可为 HTTP 提供数据机密性和完整性。通过加密 HTTP 消息,SSL 可防止攻击者窃听或更改消息内容。登 录页应始终采用 SSL 来保护从客户机传输到服务器的用户名和密码。如果不使用 SSL,会使用户凭证在传输到服务器期间作为 明文公开,从而易被窃听。 固定值:.
动力电池的安全测试图文解读
01-14
动力电池的安全性是新能源汽车发展中备受关注的热点,图1是TUV的关于动力电池安全方面测试项目,大致分为安全测试(Safety Testing)和滥用测试(Abuse Testing)。其中挤压(crush)测试和针刺(nail penetration)测试属于...
API安全详细解读.pdf
02-02
4. API 安全测试:API 安全测试是指使用各种工具和技术来测试 API 的安全性,包括安全扫描、渗透测试、代码审查等。这些测试可以帮助检测 API 的安全漏洞和威胁,从而采取措施来修复和改进 API 安全。 5. API 安全...
汽车电子中的动力电池的安全测试图文解读
10-15
汽车电子中的动力电池安全测试是新能源汽车行业中的核心环节,因为电池的安全性能直接影响到车辆的稳定性和乘客的安全。在本文中,我们将深入探讨两种重要的滥用测试——挤压测试和针刺测试,这两种测试旨在模拟极端...
基于SSL的操作网页POST自动化
05-25
使用SSL_SOCKET 进行 网页POST 可以进行网页登陆 获取数据。
医疗器械软件网络安全测试报告,《医疗器械网络安全注册技术审查指导原则》延伸解读——网络安全可追溯分析报告...
weixin_39607240的博客
07-22 4339
原标题:《医疗器械网络安全注册技术审查指导原则》延伸解读——网络安全可追溯分析报告《医疗器械网络安全注册技术审查指导原则》(以下简称“指导原则”)已经实施了一年了。但相信不少企业,对指导原则提到的“网络安全可追溯性分析报告”,还有有点搞不明白。今天我们对这份分析报告进行一点探讨。先列出指导原则的原文:“提供网络安全测试计划和报告,证明医疗器械产品的网络安全需求(如保密性、完整性、可得性等特性)均已...
业务逻辑和代码逻辑
weixin_33958366的博客
03-07 779
不能指望通过业务逻辑来为代码逻辑中的数据提供保障。 比如,不能想着“根据业务逻辑,程序运行到这里时这个数据肯定不为null”而 不在代码中做空指针的判断、处理。 业务逻辑是用户使用系统时的操作逻辑。但是用户不靠谱啊,谁知道他们会怎么祸害系统?不能指望他们会按照 你设想的流程去操作。 因而,业务逻辑是不靠谱的。代码逻辑中一定要有对空指针、越界等异常的判断和处理,不然,会死...
项目中碰到的一些比较经典的业务逻辑案例,不定时更新
xiao_彩笔的博客
10-20 7481
一、客户需求:用列表展示一些数据,数据结构有选择框(有Y/N两种状态)、编辑框(可以输入内容), 1、通过按钮控制页面选择框的显示 2、输入框多行显示 3、列表某一行可能是 标题+选择框,也有可能只是输入框 4、点击确定按钮提交最终处理结果(选择框状态对应的数据,输入框中的数据) 分析: 1、列表显示可以采取ListView/RecycleView 2、列表item显示的内容可以采取
渗透测试业务逻辑之业务数据安全
发哥微课堂
08-06 1828
0x00:前言 上周做渗透,有一个 sql 注入,负责安全审核的人给开发说你们的程序既然还有 sql 注入,我一年也看不见几个。这句话让我又再次深刻的认识到,渗透测试常规的一些注入跨站漏洞不如以前那么盛了,有点经验的开发写东西都会去考虑到了,再加上修复方法也在逐渐的完善,逻辑类的东西也应该并重的去测。 0x01:分类 我把逻辑类的问题大概总结了一下,大概可以分为十个模块,分别是登录认证模块测...
appScan安全扫描常见问题解决
热门推荐
qq_30684681的博客
11-17 1万+
1、  已解密的登录请求 解决方法:确保所有登录请求都以https加密方式发送到服务器。 2、不充分帐户封锁 解决方法: 1、登录的时候密码输入次数过多时锁住用户XX时间能不能登录,增加锁的功能。 2、加入图形验证码解决暴力攻击。 3、在降级的旧加密上填充 Oracle(也称为 POODLE) 在tomcat的server.xml中添加
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值