记录下近期项目中使用AppScan发现的安全漏洞,在后续持续跟踪:
1. 内部IP泄露;
2.检测到应用程序检测脚本;
3.HTML敏感信息泄露;
4.跨站点请求伪造;
5.发现内部IP泄露模式;
6.已解密的登录请求;(明文发送请求参数)
7.会话标识未更新;(不要接受外部创建的会话标识)
8.SQL盲注;
9.登录错误消息凭证枚举;
其中“跨站点请求伪造”类型的安全文件最多,而“会话标识未更新”、“登录错误消息凭证枚举”为严重问题。
AppScan给出了各个问题的修改建议,后续再补充进来。