基于IBM Appscan 扫描的网站安全问题修改(.Net MVC)

最新推荐文章于 2024-08-23 16:55:36 发布
置顶 最新推荐文章于 2024-08-23 16:55:36 发布
阅读量4.5k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24033949/article/details/52806056
版权

最近一直在修改网站的安全问题,期间遇到了很多问题,所有在这里给大家分享一下,具体问题还需要按情况修改。

扫描的工具是 用的 IBM Appscan。

 1. Authentication Bypass Using HTTP Verb Tampering

     这个问题的整改方案是相应的链接必须只有http协议才能访问,因为我用的是.Net Mvc ,所以我在方法的上面加上了 [HttpGet] 、[HttpPost] 注解。

 2.Cacheable SSL Page Found

   页面禁用缓存,如果扫描出来的页面不是很多话 可以在相应的页面的<head></head>标签内加上以下代码

   @{
            Response.Buffer = true;
            Response.ExpiresAbsolute = DateTime.Now.AddDays(-1);
            Response.Cache.SetExpires(DateTime.Now.AddDays(-1));
            Response.Expires = 0;
            Response.CacheControl = "no-cache";
            Response.Cache.SetNoStore();  
        }

   如果扫描出来的页面很多的话  可以写一个filter 过滤器来统一配置,这里我就不贴代码了

 3.Query Parameter in SSL Request

   这个问题是说必须使用 https post请求传递参数,所以需要把get的请求修改为post请求。如果有一些必须使用get请求的话,就不要在页面的代码里体现此链接,比如页面内有   www.baidu.com?a=1,这样是不行的,可以改成 'www.baidu.com'+'?a=1'

4.Session Identifier Not Updated

  sessionid安全问题,在登录的login页面将session清空一下可以修改此问题。

  另外,Cookie内sessionid不安全问题可以在webconfig内加入此标签解决

 <httpCookies httpOnlyCookies="true" requireSSL="false" />

5.Cross-Site Request Forgery

 这是跨站请求伪造攻击,可判断前一个页面的referer必须与本网站的域名相同来防止此攻击比且可以通过 appscan的扫描。但是判断referer也是存在referer伪造的危险的,最好还是referer+token的方法来修改此问题,具体方法可度娘查询一下。

6.① Missing "Content-Security-Policy" header  ②Missing "X-Content-Type-Options" headr  ③Missing "X-XSS-Protection" header  ④Missing Cross-Frame Scripting Defence

这些问题可以在 web.config里同意配置一下来解决,在 system.webServer 标签下加入一下代码

<httpProtocol>
      <customHeaders>
        <add name="X-Content-Type-Options" value="nosniff" />
        <add name="X-XSS-Protection" value="1;mode=block" />
        <add name="X-Frame-Options" value="SAMEORIGIN" />
        <add name="Strict-Transport-Security" value="max-age=31536000" />
      </customHeaders>
    </httpProtocol>

7.Unencrypted Login Request

 此问题需要 将网站改为  https 访问。

8.Microsoft Windows MHTML Cross-Site Scriptin

这是XSS跨站脚本攻击 ,也就是用户可以通过输入<script>alert(1)</script>脚本语句来攻击你的网站,解决方法是写一个filter过滤一下,将< >等特殊字符编码。

9. OpenSSL TLS Heartbeat buffer over-read (a.k.a. Heartbleed bug)
 如果改为https访问一般会出现 心脏出血 的ssl协议漏洞,修改方法请向下看

10. RC4 cipher suites were detected 

这里是SSL/TLS加密方式不安全,修改方法请向下看

11. Weak SSL Cipher Suites are Supported 

12. Browser Exploit Against SSL/TLS (a.k.a. BEAST)

以上9-12这几个问题 在 windows 有一个很好用的软件来解决此问题  叫   IISCrypto40.exe  ,可到 https://www.nartac.com/Products/IISCrypto/ 链接下载,然后配置如下

 

下载完后,在windows server 服务器上运行此软件,然后按照上图来勾选每一项,最后 apply后重启服务器  即可修改以上问题

 

BrandonJ
关注
AppScan扫描网站策略
11-01
### AppScan扫描网站策略 #### 一、AppScan概述与工作原理 AppScan是由IBM推出的一款专门用于Web应用安全测试的工具。它采用先进的爬虫技术来自动化地探索Web应用程序的结构,并通过模拟各种安全攻击来检测潜在的...
IBM Appscan9.0.3安全扫描简单安装、使用以及高危漏洞修复-附件资源
03-05
IBM Appscan9.0.3安全扫描简单安装、使用以及高危漏洞修复-附件资源
RootMe--HTTP verb tampering
weixin_33827965的博客
04-03 886
题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-verb-tampering 题目提示: 1. HTTP动词修改 2. 身份认证 打开题目有一个登录框,瞎输入密码过不了,按F12点击取消登录框 状态码401,身份未认证,想想题目是HTTP动词修改,尝试修改请求方式 HTTP中有8中请求方式:OPIONS...
解决Cipher Suites导致的“未能创建 SSL/TLS 安全通道”异常问题
YongMa的博客
09-26 6239
故障描述 昨天晚上在生产环境的某台计算机遇到了访问第三方应用报“未能创建 SSL/TLS 安全通道”的异常。开发的同事重新写了两个命令控制台程序(.net framework 4.5 和 .netcore 3.1),问题可以100%重现。同样的代码在本地或者其它服务器上运行,可以正常使用。更为奇怪的是,同事使用 curl 工具或者 Python写的测试代码竟然都可以正常运行。 环境描述 操作系统: windows server 2016 Datecenter (Azure标准镜像) Host: C.
漏洞复现 -- DC-4
最新发布
2301_80854251的博客
08-23 341
漏洞复现 -- DC-4
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于跨框架脚本和安全
胡争辉
11-06 2117
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于跨框架脚本和安全 [About Cross-Frame Scripting and Security: - 文档] http://msdn2.microsoft.com/en-us/library/ms533028.aspx [jQuery -
IBM Security AppScan安装包
06-26
IBM Security AppScanIBM推出的一款应用安全测试工具,可以帮助开发人员和测试人员发现Web应用程序的安全漏洞并提供详细的修复建议。该工具主要集中在应用安全领域中,包括黑盒测试、灰盒测试、白盒测试、漏洞扫描...
IBM Rational AppScan 网站安全检测
03-21
这样,每次代码提交或构建时,AppScan都会自动进行安全扫描,及时反馈结果,确保代码的安全性。 **五、学习资源** 通过阅读《AppScan用户指南.pdf》这份文档,用户可以详细了解AppScan的各项功能、使用方法以及...
IBM Rational AppScan:软件安全网站漏洞扫描
"本资源主要关注软件安全测试,特别是针对网站安全性,通过IBM的Rational AppScan工具进行讲解。内容涵盖了软件安全测试的定义、数据库安全的重要性、安全措施、软件自身安全与人为安全问题,以及相关的国家标准...
旁路认证教程
12-03
描述如何设置交换机的镜像,配置网关实现旁路认证的过程,文档非常详细.
HttpServlet Request获取请求参数 笔记
Xingqiwudexiawu的博客
06-15 260
Request
RTSP视频传输平台EasyNVR安全扫描出现3DES漏洞修复方案
EasyNVR官方技术博客
06-22 537
EasyNVR视频平台支持开启https,https和http的区别之前介绍过,如果不知道如何开启,可以参考本文:EasyNVR硬件设备如何开启使用Https。在某个客户现场,客户开启了 https 接口访问程序,然后使用安全厂商提供的漏洞扫描工具,扫描对应的端口,出现了以下问题: 可以看到EasyNVR的安全扫描出现了3DES 漏洞。 https 由 http 协议和 tls 协议组成,其中 tls 在数据传递后,会使用对称密钥算法进行加密传输数据。使用的对称密钥算法,随着时间的过度,部分密钥算法
AppScan 检测到 SHA-1 密码套件
记录或发现工作问题,予以解决
04-14 2582
安全报告提示密码套件产生不安全的特性,我们通过配置nignx进行安全升级,在这里说明,密码套件的问题不是登陆密码等级过低产生的,而是说通过系统匹配的套件安全性能过低,也就是说套件老旧,容易被其他系统进行暴力攻破程序,所以我们需要通过过滤低等级的密码套件进行升级。
快速扫描服务端口来获取服务器支持的SSL cipher列表
热门推荐
never never的专栏
05-07 1万+
出于安全考虑,网络上的数据传输大部分都是加密传输。我们平时接触到比较多的应该算是https了。HTTPS是在HTTP的基础上通过SSL协议对数据进行加密,以保证用户数据在传输过程中不被窃取。SSL协议有sslv2, sslv3, tlsv1, tlsv1.1和tlsv1.2。目前推荐使用的只有tlsv1.2,其它协议都存在各种安全漏洞。在每种SSL协议中,又包括了一系列的加密算法,也即是ciphe...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值