AppScan安全扫描-系统漏洞解决方法

最新推荐文章于 2024-06-25 04:23:01 发布
最新推荐文章于 2024-06-25 04:23:01 发布
阅读量1.6w 收藏 36
点赞数 7
分类专栏: 系统漏洞处理 文章标签: appScan 安全扫描 系统漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27512271/article/details/83017184
版权

版权声明:本文为博主原创文章,未经博主允许不得转载。
1、AppScan简介
Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
AppScan 是对网站等 Web 应用进行安全攻击来检查网站是否存在安全漏洞;既然是攻击,需要有明确的攻击对象吧,比如北约现在的对象就是卡扎菲上校还有他的军队。对网站来说,一个网站存在的页面,可能成千上万。每个页面也都可能存在多个字段(参数),比如一个登陆界面,至少要输入用户名和密码吧,这就是一个页面存在两个字段,你提交了用户名密码等登陆信息,网站总要有地方接受并且检查是否正确吧,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,所有都是被攻击对象,都需要来检查。
2、AppScan安全扫描常见问题及解决思路
2.1、SQL 注入
推理: 测试结果似乎指示存在脆弱性,因为响应包含 SQL Server 错误。这表明测试设法通过注入危险字符穿透了应用程序并到达 SQL 查询本身。在这里插入图片描述
解决方法:编写拦截器或者过滤器,在请求方法执行之前判断参数中是否含有SQL的特殊字符(and、or、1=1、insert、select、update、delete、drop、’),如果有给予提示,没有则继续执行后续操作。
在这里插入图片描述
在这里插入图片描述
2.2、已解密的登录请求
推理: AppScan 识别了不是通过 SSL 发送的密码参数。
在这里插入图片描述
解决方法:密码使用MD5加密即可,即对input type为password的参数进行MD5解密操作。
2.3、查询中的密码参数
推理: AppScan 识别出查询字符串中接收到的密码参数
在这里插入图片描述
解决方法:敏感字段传参时,需要使用MD5加密。
2.5、跨站点脚本编制
推理: 测试结果似乎指示存在脆弱性,因为 Appscan 在响应中成功嵌入了脚本,在用户浏览器中装入页
面时将执行该脚本。
在这里插入图片描述
在这里插入图片描述
解决方法:编写拦截器处理跨站字符转义。
在这里插入图片描述

smile in spring
关注
专栏目录
2024最新最全:漏扫工具Appscan使用(非常详细)从零基础入门到精通,看完这一篇就够了。
资深程序员,曾自学JAVA,C#,如今从业于网安行业
07-08 1893
AppScan是一款商业化的web安全扫描工具,web扫描领域十分受欢迎。
AppScan漏洞风险处理
qq_32590535的博客
06-19 3372
文章主要记录了一些由IBM Security AppScan Standard扫描的漏洞以及对应的修复方案,主要的应用技术架构为java的springboot单体
Web安全测试工具AppScan简述_appscan 注入的值似乎包含响应中。
2401_84253894的博客
06-25 391
对一些有权限控制要求的功能进行验证。用户密码没有加密显示或者存储、传输时是否被加密,银行卡号、手机号码等信息是否经过加密处理。跨站脚本有两种漏洞类型:存储式、反射式,这两种可能发生在服务器也可能发生在客户端。web安全测试测试点很多,手工测试很难完整的找出所有切入点,对每个切入点进行全面的检查也会耗费大量测试人员的时间精力。
AppScan安全漏洞解决
dianmiqiang2633的博客
01-22 482
1、跨站脚本 (1)过滤特殊字符 此处不做代码展示 比较简单,可以跳转错误页面,也可以用StringEscapeUtils工具类转义,也可以转换半角字符为全角字符,如果有富文本建议后两种 (2)移除js关键字 package cn.com.zhulong.common.web.filter; import java.io.IOException; import...
WEB注入
草长萤飞,柳遮艳阳
02-26 5509
总结: 1.SQL注入一般都是为参数加上‘永真’操作,从而达到搜索的目的,甚至插入CRUD操作。 解决方法: 如果是ORM的框架可用占位符方式,如果用JDBC可以用 preparedStatement方式。 2. JS脚本注入,一般是通过参数在后面加几个“扰乱码”后再加上alert(function()) 的方式注入,以达到执行alert内部的function的目的,同时也可以追加html元素
文件下载漏洞
11-25
文件下载功能存在漏洞,需要对待下载的文件路径进行判断否则可能下载任意文件
HCL AppScan Standard漏洞扫描处理记录
10-31 2047
AppScan漏洞扫描,nginx配置修改记录
安全工具 | AppScan漏洞扫描工具标准版免费安装、配置及使用指导(附工具下载链接)
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
06-21 1553
HCL Software 是 HCL Technologies(HCL) 的一个部门,负责运营其主要软件业务。它在 DevOps、自动化、数字解决方案、数据管理和大型机领域开发、营销和支持多款产品系列。HCL Software 在世界多地设有办事处和实验室。AppScan 与 AWVS、Burp Suite 列为业界排名Top 3 的Web漏洞扫描工具。若对另外两款工具感兴趣,可以参阅博主文章。
WEB安全漏洞扫描与处理(上)——安全漏洞扫描工具AppScan的安装使用
cooldream2009的博客
06-25 1699
目录 1 漏扫工具AppScan的下载和安装破解 1.1 AppScan的下载 1.2 AppScan的安装和破解 2 AppScan的漏洞扫描过程 3 安全报告的生成 4 结语 很多公司对软件会有安全的要求,一般测试公司会使用安全漏洞扫描工具对软件进行漏扫,然后给出安全报告,然后软件开发人员会根据提供的安全报告进行漏洞的处理。我们接触到的测评公司,使用的是漏洞扫描工具AppScan,这里介绍一下AppScan的安装使用,以及安全报告的生成。 1 漏扫工具AppScan的下载和安装破解 1
一种绕过appscan扫描注入漏洞的简单方法(附代码)
qq_42000667的博客
10-29 2812
本文介绍了一种简单的对现有web server程序进行修改,以绕过appscan扫出的注入漏洞的方法。采用黑名单的方式进行payload和cookie的输入值校验。
APPScan基础扫描-技术手册》
11-08
总的来说,《APPScan基础扫描-技术手册》提供了从初始化设置到问题解决的全面指南,帮助用户熟练掌握AppScan的使用,提升Web应用的安全评估能力。在CSDN这样的技术社区,知识分享和资源交流能促进大家共同进步,每一...
安全测试报告
06-13
系统安全测试报告
AppScan的Web应用安全测试使用简明
08-18
很好用的文档,步骤+步骤图片
AppScan-Standard-v10.5
最新发布
07-25
appscan 安全扫描工具、web漏洞扫描
安全测试appscan操作手册-手动探索完全扫描的区别.pdf
07-14
自动扫描是一种便捷的方式,它能快速对目标系统进行扫描,但可能无法覆盖所有插件模块,因此可能会遗漏某些安全问题。而手动探索则允许测试人员更加精细化地控制扫描过程,包括选择特定的URL、功能或模块进行扫描,...
AppScan-Setup-10.4.0是AppScan软件的一个安装包版本,该版本为AppScan的10.4.0版本
07-22
MFA-安全问题回复:在回放登入期间以及自动探索期间,AppScan将检测需要安全问题值的字段,并设定正确的答案。 UX更新:包括非漏洞信息查看、变体表的多重选择、排序和更改列宽等功能。 扫描策略更新:提供了更灵活...
2021-09-01 网安实验-漏洞扫描专题-AppScan漏洞扫描
热门推荐
时光隧道
09-01 4万+
AppScan介绍 IBM AppScan产品是一个领先的 Web 应用安全测试工具,曾以 Watch fire AppScan 的名称享誉业界,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(Cross-Site Scripting)、缓冲区溢出(Buffer Overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描AppScan漏洞扫描 1、打开工具IBM Security AppScan
appScan扫描漏洞修复
阳光
08-15 3005
5、对于 PHP 中间件的使用者,可通过修改 php.ini 文件来实现如果关闭与开启错误信息,关闭错误显示后,php函数执行错误的信息将不会再显示给用户,这样能在一定程度上防止攻击者从错误信息得知脚本的物理位置,以及一些其它有用的信息,起码给攻击者的黑箱检测造成一定的障碍。如果不需要外部访问,请完全除去此头。2、对于常用的jsp语言开发的网站,可在业务流程中,加入异常捕获过程中预定义的错误编码,将异常输出到错误日志中,并在前台页面返回相应的错误编码,以便应用系统运维人员进行异常排查。
asp.net里面用appscan扫描部分漏洞与解决方法(一)
chenhaoying的专栏
08-16 3732
1、sql注入攻击 使用参数方法录入,过滤单引号。 2、已解密登录请求 AppScan要求密码都要加密传输,最好是使用https。这个问题还可以使用ajax来触发帐号验证并登录, function login() {             if ($("#txtUser").val() != '' && $("#txtPassWord").val() != '') {
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值