AppScan安全扫描
欣怡
那段路每走一步都会践踏自己清白的良心
展开
-
AppScan安全扫描:加密会话(SSL)Cookie中缺少Secure、会话 cookie 中缺少 HttpOnly 属性
1、创建拦截器,对请求进行拦截处理Cookie问题因为涉及到登录,因此需要添加登录URL白单信息:xml配置cookieHttpOnlyNoUrl或修改bdUris对应的默认值因为图片、css样式、js无需做cookie处理,因此需添加后缀白单信息:xml配置noSuffixs或修改suffixList对应的默认值package cn.com.zwjp.framework.filte...原创 2019-01-30 16:26:16 · 4298 阅读 · 1 评论 -
AppScan安全扫描:常见header头安全问题处理
1、nginx配置添加一下代码:add_header X-Frame-Options 'SAMEORIGIN'; # 只允许本站用 frame 来嵌套add_header X-XSS-Protection '1; mode=block'; # XSS 保护add_header X-Content-Type-Options 'nosniff';#响应头可以禁用浏览器的类型猜测行为add_...原创 2019-01-30 16:38:15 · 7059 阅读 · 0 评论 -
AppScan安全扫描:会话标识未更新
会话标识未更新:在登录页面中存在一个动态的验证码,这个验证码每次获取后会存放于客户端的session中,而若登录失败后会再次跳回到登录页面,而在AppScan做安全扫描时就会误认为因该是新的请求会话,而新的会话则需要用新的Session(sessionId不一样即可),而我们很多时候登录失败后的错误提示信息会封装到session中,这样会方便前台直接读取,因此就会导致会话标识未更新的安全问...原创 2019-01-30 16:55:54 · 1325 阅读 · 0 评论 -
AppScan安全扫描:CSRF 攻击 将可能干扰 CSRF 攻击的 HTTP 头除去,并使用伪造的 URL 设置 Referer 头
如果一个网站是从其他网站点击后跳转过来,则会在当前的请求头中带上Referer信息,该信息指示的是跳转前网页的地址信息,而AppScan安全扫描则会报CSRF 攻击;解决方法:通过拦截器,获取请求中的Referer信息,对Referer信息做过滤处理1、拦截器信息可用过csrf-ignore-uri配置白单信息,指定相应的URI信息不做拦截package cn.com.zwjp.fr...原创 2019-01-30 17:15:45 · 1720 阅读 · 0 评论 -
AppScan安全扫描:使用 HTTP 动词篡改的认证旁路,更多安全问题
一、使用 HTTP 动词篡改的认证旁路禁用http下不安全的方法(web.xml添加代码)<!-- 禁用不必要HTTP方法 --><security-constraint><web-resource-collection><url-pattern>/*</url-pattern><http-method>PUT...原创 2019-01-30 17:43:59 · 5260 阅读 · 1 评论