AppScan Standard扫描漏洞处理方法

最新推荐文章于 2024-01-25 00:11:51 发布
最新推荐文章于 2024-01-25 00:11:51 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: 安全 文章标签: 安全漏洞 appscan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongweibing1/article/details/70891429
版权

系统漏洞处理方法

应XX要求,要对系统的安全漏洞进行处理解决。扫描工具为IBM Security AppScan Standard ,本次主要要解决工具扫描出来的高危和中危级别的漏洞。
         未解决时 扫描系统的结果如下图所示:

处理后扫描结果如下:

大致满足了客户提出的要求,下面给出处理的方法
 
解决方式: 
         1 、对于跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)类型的漏洞采用的过滤特殊字符。
         2 、已解密的登录请求采用SSL 加密方式。
         3 、会话标识未更新漏洞采用更新sessionid 的方式。
         4 、跨站点请求伪造漏洞采用添加过滤器过滤掉非系统本站点的请求





hongweibing1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
appscan如何进行web端安全性测试_web端常见安全漏洞测试结果分析-- appscan
weixin_35323111的博客
12-30 1038
基于appscan测试结果分析:一、XSS跨站脚本指的是攻击者往Web页面里插入恶意html代码,通常是JavaScript编写的恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。是最常见的Web应用程序安全漏洞之一JavaScript可以用来获取用户的cookie、改变网页内容、URL调转,存在XSS漏洞的网站,可以盗取用户cookie、黑掉页面...
appscan扫描 通过框架钓鱼、链接注入(便于跨站请求伪造)、跨站点脚本编制等问题
Mervyn的博客
10-11 1462
手上的一个项目最近用appscan扫描测试。遇到了几个中高问题: 通过框架钓鱼 链接注入(便于跨站请求伪造) 跨站点脚本编制 看了下测试报告给出的原因:未对用户输入正确执行危险字符清理。 修改建议是针对xss漏洞进行修复。 最开始处理的时候,参照预防XSS攻击,(参数/响应值)特殊字符过滤这篇博文做了过滤,再扫描还是有这几个问题。 后面又看了篇博文XSS攻击常识及常见的XSS攻击脚本汇总,了解...
appscan漏洞扫描工具
07-12
appscan漏洞扫描工具: AppScan的安装 1、解压安装包,双击AppScan_Setup_10.0.0.exe运行,默认下一步安装完成即可。 2、将AppScanStdCrk文件夹中的rcl_rational.dll和AppScanStandard.txt复制到安装根路径下,覆盖原来的文件。 3、双击桌面快捷方式,打开软件,点击帮助->许可证->切换到IBM许可证。 4、点击打开Appscan License Manager,——>点击许可证配置->节点锁定许可证文件中点击“+”选择安装目录下的AppScanStandard.txt文本作为许可证. 5、许可证设置成功后可以正常使用
IBM Security Appscan漏洞--链接注入(便于跨站请求伪造)
YouXu
03-16 4727
•可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 •可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 •可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件
加固安全防线:解决常见漏洞的实用指南
最新发布
网络安全
01-25 1714
加固安全防线:解决常见漏洞的实用指南
渗透学习:SQL盲注
delin的专栏
03-18 783
SQL 盲注 可能会查看、修改或删除数据库条目和表 可能原因 未对用户输入正确执行危险字符清理 技术描述 该软件使用受外部影响的输入来构造 SQL 命令的全部或一部分,但是它未能对可能在 SQL 命令发送到数据库时修改该命令的元素进行无害化处理。如果在用户可控制的输入中没有对 SQL 语法充分地除去或加上引号,那么生成的 SQL 查询可能会导致将这些输入解释为 SQL 而不是普通用户数据。这可用于...
AppScan扫描建议
czscyb的专栏
04-22 1万+
1.1        AppScan扫描建议 若干问题的补救方法在于对用户输入进行清理。  通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。  建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(
nginx 漏洞修复
趴着的猫的博客
03-21 1万+
nginx
APPScan基础扫描-技术手册》
11-08
APPScan基础扫描-技术手册》这篇文档将教会你如何使用APPScan这款工具对web平台执行安全扫描喔~ 如果还有安全测试相关的其他问题,也欢迎随时来私聊我交流呀~ CSDN,知识分享,资源共享,希望和同在CSDN的你共同...
漏洞扫描工具appscan
11-26
对于一些网络安全管理人员、或者运维工程师等人来说,拥有趁手而实用性强的安全测试软件是很有必要的,Appscan就是这样一款软件。它可以支持多种分析方法,不同的分析方法适用于不同的分析要求和条件,可分析范围很...
Web漏洞扫描AppScan.pdf
06-23
Web漏洞扫描AppScan用法教程
AppScan安全测试漏洞检测工具10.4版本
12-25
AppScan具有强大的静态、动态、交互式和开源扫描引擎可以部署在开发生命周期的每个阶段,提供完善的漏洞规则库、漏洞扫描引擎、安全性能扫描、云系统集成、Web应用技术和多种代码语言灯
安全测试工具AppScan8.0 P1
06-01
文件太大,只能分成六份上传 破解包在另外的上传文件中
AppScan检查到的一些中高危漏洞解决方案
zhaofuqiangmycomm的博客
06-07 2417
解决办法:在shiro的配置文件中 引入 解决办法:在shiro的配置文件中 引入 2.1再加全局拦截器: 再看所有请求头中已有Secure 和HttpOnly属性2.2.servlet3及以上 在web.xml中引入 http-only 和secure的属性 解决办法:mvc全局拦截器处理非法字符 解决办.......................................
网络安全--工具篇--AppScan
Xiaomo1536的博客
07-04 2931
网络安全--工具篇--AppScan
解决AppScan扫描问题SQL注入/XSS攻击
yangzjchn的博客
04-24 7800
客户使用IBM的安全漏洞扫描工具AppScan扫出来一堆问题,如SQL盲注、绑定 MongoDB NoSQL 注入、跨站点脚本编制、已解密的登录请求、跨站点请求伪造、链接注入(便于跨站请求伪造)、通过框架钓鱼等等。 参考链接: 防止SQL注入和XSS攻击filter 防止常见XSS 过滤 SQL注入 JAVA过滤器filter ...
appscan漏洞--目录列表
隐0士的博客
06-20 3741
直接访问http://xxx.xx.xxx.xx/images/后可以看到列表: 响应包含目录的内容(目录列表)。这表示服务器允许列示目录(通常不推荐此做法) 修改服务器配置以拒绝目录列表,修改httpServer的配置:/opt/IBM/HTTPServer/conf 的httpd.conf,看到 # # Possible values for the Options
AppScan安全扫描-系统漏洞解决方法
热门推荐
qq_27512271的博客
10-11 1万+
1、AppScan简介 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描AppScan source edition,到针对 Web 应用进行快速扫描AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppSca...
appscan漏洞扫描使用说明
07-14
AppScan是一款流行的漏洞扫描工具,用于识别和评估Web应用程序中的安全漏洞。以下是AppScan漏洞扫描的基本使用说明: 1. 安装和配置:下载并安装AppScan,然后按照提供的指南进行基本配置。确保您的系统满足最低要求并具有适当的许可证。 2. 创建项目:在AppScan中创建一个新项目,提供相关信息,如目标URL和认证凭据(如果需要)。您还可以选择其他配置选项,如扫描深度和扫描策略。 3. 配置扫描选项:根据您的需求选择适当的扫描选项。您可以选择执行全面扫描或仅针对特定漏洞类别执行扫描。 4. 启动扫描:点击"开始扫描"按钮启动扫描AppScan将自动访问目标URL,并尝试发现潜在的漏洞。 5. 查看扫描结果:一旦扫描完成,您可以查看扫描结果报告。报告将列出检测到的漏洞及其严重性级别。您可以通过报告中提供的详细信息,了解每个漏洞的具体细节和修复建议。 6. 修复漏洞:基于AppScan扫描结果,您应该尽快修复检测到的漏洞。根据漏洞的严重性级别,您可以优先处理高风险漏洞。 7. 定期扫描漏洞扫描不是一次性任务,建议定期使用AppScan对Web应用程序进行扫描,以确保持续的安全性。 请注意,这只是AppScan的基本使用说明。根据您的具体需求和环境,您可能需要更多高级配置和操作。建议参考AppScan的官方文档和用户手册,以了解更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值