AppSCan 扫描参数命令注入问题解决

奋怒得韭菜

已于 2024-07-25 19:09:57 修改

阅读量207

点赞数 3

分类专栏：嵌入式web服务器文章标签： web

于 2024-07-06 10:25:47 首次发布

本文链接：https://blog.csdn.net/qq_28245841/article/details/140224997

版权

嵌入式web服务器专栏收录该内容

2 篇文章 0 订阅

订阅专栏

一.问题背景

由于开发得家庭网关(ONU)需要通过安全测试，要求使用appscan扫描，我们得家庭网关页面使用得是web服务器框架是boa这一开源小型嵌入式框架

二.问题发现

分析了问题主要是由于在cookie里面注入了参数导致

三.解决方法

在boa源码里面设置cookie为httponly属性

sprintf(head,"Content-Type: " HTML "\r\nSet-Cookie: SESSIONID=%s;HTTPOnly\r\n\r\n",id);

通过以上修改可以修复由于cookie参数注入导致得appscan高危报错

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

奋怒得韭菜

关注关注

3
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

appscan如何进行web端安全性测试_web端常见安全漏洞测试结果分析-- appscan

weixin_35323111的博客

12-30

1095

基于appscan测试结果分析：一、XSS跨站脚本指的是攻击者往Web页面里插入恶意html代码，通常是JavaScript编写的恶意代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。是最常见的Web应用程序安全漏洞之一JavaScript可以用来获取用户的cookie、改变网页内容、URL调转，存在XSS漏洞的网站，可以盗取用户cookie、黑掉页面...

appScan常见高危漏洞，走过的坑啊

weixin_43881309的博客

12-06

9707

appScan常见高危漏洞，走过的坑啊一、SQL 盲注(SQL注入) 1、过滤特殊字符 2、使用预编译，不要拼接sql 3、对sql执行部分异常进行捕获，不要抛出不同的异常，以免被推测有漏洞 4、可能appscan误报误报解决: (1)、把错误的页面单独反复测试 (2)、把AppScan扫描的线程数改成1（默认10）二、存储的跨站点脚本编制(xss漏洞) 1、对存储的内容进行xss过滤。 ...

参与评论您还未登录，请先登录后发表或查看评论

web安全扫描问题疑问 AppScan

03-18

NULL 博文链接：https://zpball.iteye.com/blog/693911

002、APPScan遇到的问题与操作注意事项

最新发布

mrx9520的博客

08-02

369

答：这里有两种操作：1、如果自动探索到一些不需要的接口，①可以在配置中的排除路径中添加不需要的接口路径，②也可以在“基于URL”的扫描结果列表，通过右键点击“从扫描中排除”按钮，去除不需要的路径。2、如果自动探索少了很多需要的接口，这个时候就可以等自动探索后，点击手动探索，在浏览器中点击操作你需要测试的功能，然后确定，系统就会将手动探索的接口路径加入探索结果列表中。答：开发解决风险后，不需像第一次那样重头扫描，只需要在原来执行的扫描任务的页面点击扫描--》重新测试发现的问题即可重新扫描之前的漏洞。

文件参数 Shell 命令注入（Appscan）

一杯咖啡的渗透记忆

10-15

4983

常规有多种减轻威胁的技巧： [1] 如果可能，使用库调用而不是外部进程来重新创建所需功能。 [2] 策略：沙箱或监狱在进程和操作系统之间强制实施严格边界的“监狱”或类似沙箱环境中运行代码。这可以有效限制您的软件可访问特定目录中的哪些文件或者可以执行哪些命令。操作系统级别的示例包括 Unix chroot jail、AppArmor 和 SELinux。通常，受管代码可提供一定的保护。例如，Java SecurityManager 中的 java.io.FilePermission 允许您指定针对

AppScan进行测试的过程中常见故障及解决方法

weixin_42874924的博客

12-01

9357

1.AppScan的扫描只有登陆的页面，无法扫描其他菜单一般测试的项目会有验证码什么的，可以先把多余的注释掉，然后再重新扫描，如果只有用户名和密码，就需要排查一下登录页是否存在问题，不过也有一些项目无法进行自动扫描，可以进行手动探索，将页面上的可见的尽可能都点到，可以分多次进行 2.使用外部浏览器,最好使用IE的，其他的好像多少有点毛病，谷歌的在进行手动探索时无法获取url（appscan9.0.1.1,暂时未解决） 3.Appscan扫描时卡住不动的问题均在探索的时候，在不同的地方卡住不动，暂停按钮

IBM Security Appscan漏洞--链接注入（便于跨站请求伪造）

YouXu

03-16

4864

•可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 •可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 •可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件

安全扫描appscan问题及修复

woshidalao12138的博客

02-22

526

之前还有用过Acunetix，但是没有AppScan好用1、部署AppScan2、新建一个扫描，录制登录程序3、可以选择让程序自己进行全盘扫描或者选择手动搜索4、可以选择全盘扫描，然后在里面再选择手动探索。会弹出一个谷歌浏览器，程序会记录下你访问了哪些接口，然后判断你这些请求是否有问题。需要注意的是，程序会修改你的入参然后批量访问接口，会造成大量脏数据，有需要可以提前备份一下数据库。5、结束了之后，就生成导出报告，就选择第一个tab的生成pdf就好，或者直接看一下结果。

appscan9.0.3.13+安全规则18533.rar

12-13

它提供了全面的应用安全测试功能，能够检测出SQL注入、跨站脚本(XSS)、路径遍历、命令注入等多种常见漏洞，为企业的信息安全提供有力保障。安全规则18533是AppScan中一个特定的检测规则，它关注的是“未验证的...

AppScan的Web应用安全测试使用简明

08-18

AppScan将自动遍历指定的URL，模拟多种攻击向量，如SQL注入、跨站脚本（XSS）、命令注入等。 3. **漏洞检测**：在扫描过程中，AppScan会分析响应数据，查找可能的安全漏洞。一旦发现潜在问题，它会生成详细的报告。...

Security Appscan Standard 漏洞扫描及补漏洞

YouXu

03-03

4817

IBM Security Appscan 介绍 IBM Security AppScan 在应用程序开发的生命周期过程中提供安全测试， AppScan 扫描很多常规的漏洞，比如跨站脚本攻击（cross site cripting)，HTTP 响应分割（HTTP response splitting），参数篡改(Parameter Tampering)等等。

AppScan9.0.3.10.zip

03-02

它能够自动识别应用程序的输入点，执行各种安全测试，如SQL注入、跨站脚本（XSS）和命令注入等。 2. **智能检测引擎**：AppScan 9.0.3.10 引入了更智能的检测引擎，可以更准确地识别出真实的安全风险，减少误报，...

WEB安全基础入门—操作系统命令注入（shell 注入）

Eason_LYC安全白帽子的成长博客

06-09

1982

WEB安全基础入门—操作系统命令注入（shell注入）欢迎关注订阅专栏！ WEB安全系列包括如下三个专栏：《WEB安全基础-服务器端漏洞》《WEB安全基础-客户端漏洞》《WEB安全高级-综合利用》知识点全面细致，逻辑清晰、结合实战，并配有大量练习靶场，让你读一篇、练一篇，掌握一篇，在学习路上事半功倍，少走弯路！欢迎关注订阅专栏！......

command injection（命令注入）

weixin_30553065的博客

09-23

529

　　命令注入是十分致命的安全漏洞，在编码过程中需要予以重视。防止命令注入有一种方便快捷的方法，就是加转义字符过滤用户敏感输入。示例代码： 1 char* CGlobe::RejectCommandInjection(char *strCmd) 2 { 3 // 通过加转义字符防止命令注入 4 5 memset(m_strBuf,0,sizeof(m_s...

解决AppScan扫描的问题SQL注入/XSS攻击

yangzjchn的博客

04-24

7990

客户使用IBM的安全漏洞扫描工具AppScan扫出来一堆问题，如SQL盲注、绑定 MongoDB NoSQL 注入、跨站点脚本编制、已解密的登录请求、跨站点请求伪造、链接注入（便于跨站请求伪造）、通过框架钓鱼等等。参考链接：防止SQL注入和XSS攻击filter 防止常见XSS 过滤 SQL注入 JAVA过滤器filter ...

AppScan使用教程

lemon_linaa的博客

12-12

5659

Rational AppScan 可自动化 Web 应用的安全漏洞评估工作，能扫描和检测所有常见的 Web 应用安全漏洞，例如 SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）、缓冲区溢出（buffer overflow）及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。②仅应用程序：包含所有应用程序级别的测试，但不包含侵入式和端口侦听器。③仅基础结构：包含所有基础结构级别的测试，但不包含侵入式和端口侦听器。

Command Injection（命令行注入）

WEL测试

01-07

9448

命令注入漏洞是特别危险的，因为它们允许未经授权的执行操作系统命令，它们的存在，因为应用程序无法正确地验证和消毒，使用时调用shell的功能，如的参数。攻击者与控制这些参数可以欺骗应用程序执行任何系统命令自己的选择。为了正确测试命令注入漏洞，应遵循以下步骤： § 第1步：了解攻击场景 § 第2步：分析原因及对策 § 第3步：开始试验和探索 § 第4步：微调测试案例第1步：

一种绕过appscan扫描注入漏洞的简单方法（附代码）

qq_42000667的博客

10-29

2828

本文介绍了一种简单的对现有web server程序进行修改，以绕过appscan扫出的注入漏洞的方法。采用黑名单的方式进行payload和cookie的输入值校验。

解决AppScan扫描大型网站问题及优化策略

"本文主要探讨了使用IBM AppScan进行大型网站安全扫描时可能遇到的问题、工作原理以及如何有效使用该工具。重点介绍了AppScan的工作模式、扫描策略、配置选项，并提出了PDCA方法论来指导扫描过程。" AppScan是IBM...