appscan扫描漏洞
隐0士
这个作者很懒,什么都没留下…
展开
-
加密会话(SSL)Cookie 中缺少 Secure 属性
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输中,系统所用的cookie没有进行设置secure属性。首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookie,cookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他原创 2016-07-29 18:48:46 · 28028 阅读 · 0 评论 -
apache 服务器禁止http方法 解决appscan 使用 HTTP 动词篡改的认证旁路漏洞
第一种办法:在/opt/IBM/HTTPServer/conf 下的httpd.conf也就是apache的配置文件.加上如下代码 Order Allow,Deny Deny from all LimitExcept 后面写的是允许经过的http方法,我这边是was8.5默认的put和delete、trace方法是禁止的,head方法原创 2016-07-29 17:43:10 · 11260 阅读 · 0 评论 -
appscan漏洞--目录列表
直接访问http://xxx.xx.xxx.xx/images/后可以看到列表:响应包含目录的内容(目录列表)。这表示服务器允许列示目录(通常不推荐此做法)修改服务器配置以拒绝目录列表,修改httpServer的配置:/opt/IBM/HTTPServer/conf 的httpd.conf,看到## Possible values for the Options原创 2016-06-20 14:50:09 · 3834 阅读 · 0 评论 -
SQL 盲注和脚本攻击防范
这些攻击很多都是通过把正常传递的参数值改成一些恶意代码而发起攻击的,因此我们在服务器端只需对这些危险字符进行过滤,这样便不会危害到系统的正常运行。具体操作就是配置一个脚本过滤器,通过正则表达式来过滤这些危险字符,如下所示:boolean hasUnlawCharacter = false; StringBuilder errInputNames = new StringBuilder原创 2016-08-10 16:40:25 · 1451 阅读 · 0 评论 -
IHS配置安全漏洞: 支持不推荐使用的 SSL 版本、在降级的旧加密上填充 Oracle、检测到 RC4 密码套件、支持弱 SSL 密码套件、 重构 RSA 导出键(又称为 FREAK)
都是由于ihs配置中支持不推荐使用的ssl版本和弱密码套件引起的。只要在配置文件中禁用sslv2,sslv3和申明使用的非弱密码套件即可,在/opt/IBM/HTTPServer/conf目录下的httpd.conf配置文件添加一下代码# Example SSL configuration which supports SSLv3 and TLSv1# To enable th原创 2016-08-11 09:12:37 · 9755 阅读 · 0 评论 -
SQL注入文件写入(需要用户验证)
SQL注入文件写入(需要用户验证)解决方案说明 这个问题根据使用的数据库而有两种处理方案:数据库不为sqlserver 此问题是针对sql server数据库做文件写入的攻击而产生的,如果使用的数据库不是sql server则可不必理会,可在appscan的扫描配置–>测试策略–>SQL注入–>SQL注入文件写入(需要用户验证)两个选项前面去掉打勾,这样appscan便不会做这样的扫描攻击,如下原创 2016-11-14 16:07:51 · 11415 阅读 · 0 评论