AppScan等保问题

最新推荐文章于 2024-01-10 14:12:28 发布
最新推荐文章于 2024-01-10 14:12:28 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29656325/article/details/126399971
版权

等保

背景

最近公司有个客户需要对接等保
然后将项目给安全公司扫了一遍
给我们发来了一份文档(AppScan扫描出来的)
从此走上一周的等保之路

漏洞

发给我们的漏洞如下

SQL注入/返回格式

文档里有几类可以归为是返回格式的问题
比如sql注入非法参数
我们系统有2个分页参数是在mybatis里是不用#{}的,所以有注入风险
为此我们写了一个过滤器防止一些参数
问题有2个

  1. 过滤器参数不完整,有些无法过滤
  2. 已经过滤了,但由于返回格式暴露了异常,安全报告上仍然显示(非法参数也是,虽然无法执行,但会暴露内部异常)

第一个问题通过完善过滤器内容
第二个需要在java后端里进行全局异常处理,即@ControllerAdvice详情见

通过全局异常处理可以解决如下

  1. JSON 中反映的未清理用户输入
  2. 整数溢出
  3. 应用程序错误

完善过滤器解决SQL注入相关

危险文件遍历

扫描器会遍历你的接口,加上一些常见文件以及后缀,比如.log,.zip判断可不可以获取到一些文件
在我们的SpringBoot项目中,有一些写法是@PathVariable
导致了当接收类型是String时会导致这个漏洞出现
他觉得响应是200,而且返回格式是application/json,所以是漏洞
主要是发现压缩目录

解决方法:
写个过滤器禁止掉这些特定后缀的,返回404
也可以在nginx里配置也可以在SpringBoot项目配置

弱密码套件

在我们使用nginx的情况下,需要配置nginx使用的TLS版本和密码套件
需要根据实际检测报告反馈修改配置

# https用
ssl_protocols TLSv1.2;
# Enable modern TLS cipher suites
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256';

请求头相关

包含如下请求头需要处理

  • Strict-Transport-Security: HSTS,告诉浏览器这个网站在什么情况下应该使用https
  • X-Content-Type-Options:contentType需要符合一定规则,不然会被阻止
  • X-Xss-Protection: 防止XSS攻击
  • Referrer-Policy:决定什么时候要发送Referer 这个请求头
  • Content-Security-Policy: CSP,决定能不能加载某个资源,配置最麻烦
Strict-Transport-Security
# 多少s内浏览器访问该网站应该使用https
add_header Strict-Transport-Security "max-age=63072000;";
X-Content-Type-Options
# X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改
# nosniff 下面两种情况的请求将被阻止:
# 1.请求类型是"style" 但是 MIME 类型不是 "text/css", 
# 2.请求类型是"script" 但是 MIME 类型不是 JavaScript MIME 类型。
add_header X-Content-Type-Options 'nosniff';
X-Xss-Protection
# 1 启用 XSS 过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。
# 1; mode=block,检测到之后阻止页面加载
add_header X-Xss-Protection "1; mode=block";
Referrer-Policy
# 决定什么时候要发送`Referer` 这个请求头
add_header Referrer-Policy 'strict-origin-when-cross-origin';
Content-Security-Policy
# 这部分主要根据你们的实际地址和请求来修改,可以直接拿浏览器要的hash值配置
# 需要注意的是script-src不能使用unsafe,即你的网页用的组件不能使用eval,new Funtion等函数  
# 目前我们遇到的是vue需要改成runtime模式  
# 还有一个前端导出excel的组件用到了script-loader,需要修改
# 资源加载策略 default-src 表示默认情况下
# 需要单引号: 
# self:同源 
# unsafe-inline:允许使用内联资源 
# unsafe-eval:允许使用 eval()  
# 不需要单引号 
# data: 协议是data的资源,注意有个冒号(前端加载data:的图片)
# http://10.168.0.114:800 后台地址(处理后台的资源,比如验证码)
# 'unsafe-inline' 'unsafe-eval' data:
add_header Content-Security-Policy "default-src 'self'  http://10.168.0.114:800 ;style-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src-elem 'self' 'unsafe-inline' 'unsafe-eval'; script-src 'self'  'sha256-V4FYFpBUWq0DlvnqicH7btb0sUDUBetG8lXe/6b+UNE=' 'sha256-V4FYFpBUWq0DlvnqicH7btb0sUDUBetG8lXe/6b+UNE=' 'sha256-f/7mRa/vWA+2mOUeu3P2kpWNRe7MZZCqJH5rJuB1I0k=' ; script-src-elem 'self'  'sha256-V4FYFpBUWq0DlvnqicH7btb0sUDUBetG8lXe/6b+UNE=' 'sha256-V4FYFpBUWq0DlvnqicH7btb0sUDUBetG8lXe/6b+UNE=' 'sha256-f/7mRa/vWA+2mOUeu3P2kpWNRe7MZZCqJH5rJuB1I0k='; img-src 'self' data: http://10.168.0.114:800; frame-ancestors 'self'; font-src 'self' data:;";

其他

  • 大多数比如应用程序错误或者整数溢出之类都是说他传了一个非法值,但是返回错误包含了内部异常,处理方法很简单,对系统进行全局异常处理(@ControllerAdvice),返回一个内部的错误码,而不要把异常直接返回给前端
  • Cookie相关可以在后端应用中设置SameSite或者Secure
  • 发现可缓存的高速SSL页面,可以通过配置Cache-Control设置
  • 过度的CORS可以在后端配置CORS过滤器的时候不返回*,而是返回特定的Origin
  • 以上都可以通过自己下载一个AppScan自己扫描,生成的报告也有详细的修改建议,但可能有一些规则是安保公司自定义的,这个就得配合安保公司提供的文档测试
Ikarosxx
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
AppScan扫描工具
11-21
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
AppScan10.0
09-07
AppScan10.0,下载亲测可用。AppScan是用于web项目的安全测试工具,扫描网站所有url,自动测试是否存在各种类型的漏洞。
MongoDB相关问题及答案(2024)
最新发布
qq_43012298的博客
01-10 1247
BSON 是针对 MongoDB 和类似系统的效率、速度与灵活性需求而设计的,它补充了 JSON 的一些缺陷,尤其是在数据类型支持和处理效率方面。BSON 在 MongoDB 的使用,使得它能够快速地存取和查询数据,同时为开发者提供了一种方便和强大的方式来与 MongoDB 数据库进行数据交互。尽管 BSON 提供了很多优势,但它并不是设计用来作为网络交换数据的通用格式;在需要人类可读或者更为紧凑的数据表示时,JSON 仍然是更好的选择。11、索引失效(Index Miss)是什么,以及如何监测和优化。
Json解析字符串出现异常
xiaoCCD的博客
01-14 1709
使用net.sf.jsonjson解析方法去解析json字符串,经常出现如下异常。 当json串如jsonStr1时,使用jsonObject.toBean()方法解析为javabean时,会出现NoSuchMethodException异常。 改为如jsonStr2的json串,解析为javabean时不会报错。 当用json串作为参数传递到JSONObject.fromObject()方法时,会报如下错误。 原因是使用参数类型和JSONObject.fromObject(Obj.
要避免的十大后端开发错误
我的博客,不一样的自我表达
06-17 561
通过优先考虑输入验证、数据库设计、缓存机制、身份验证和授权、错误处理、API 优化、性能测试、可伸缩性规划、安全更新和适当的文档,您可以构建强大而高效的后端,以满足用户期望并推动业务成功。彻底记录您的代码,包括 API、数据模型和架构决策,以促进更轻松的入职、故障排除和来开发。通过及时了解安全公告、及时应用补丁并定期更新后端依赖项,您可以维护安全的应用程序环境并保护您的数据和用户免受已知漏洞的侵害。在此博客,我将分享要避免的10 大后端开发错误,阐明常见的陷阱并为成功的开发之旅提供实用的解决方案。
AppScan安全检测工具,检测出的问题解决
yangye1225的博客
12-29 7910
一、跨站点脚本请求编制 二、跨站点请求伪造 三、HTTP动词篡改的认证旁路
IBM AppScan 各种测试问题修改方案
yangye1225的博客
01-03 9062
1. SQL注入文件写入(需要用户验证) 解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] &
App scan 扫描安全漏洞解决方案
talen_hx的博客
08-10 1781
项目上要进行IBM的App scan安全漏洞扫描,要有Web应用程序报告,网上找了不少内容,集项目,常出现的有以下几类 发现压缩目录 直接在nginx上,添加配置 location ~* \.(php|zip|arj|lzma|wim|war|ear|ar)$ { deny all; } 限制不能传后缀为这些的 Oracle Application Server PL/SQL 授权的 SQL 查询执行 查询执行 如果确定没用oracle,那应该是controlle...
Appscan 扫描时提示内部错误 日志提示内存溢出解决方法Exception of type 'System.OutOfMemoryException' was thrown. mscorlib
热门推荐
aloneguy的博客
11-06 1万+
原因是手动探索的内容太多,数据量太大,超过了软件自身内存限制,导致内存崩溃。 日志在C:\Users\管理员名字\AppData\Roaming\IBM\AppScan Standard\Logs\SdkDebug.log 日志提示“Exception of type ‘System.OutOfMemoryException’ was thrown. mscorlib” 解决方法 1、不要一次探索...
整数溢出的漏洞危害和预防
JinxMow的博客
12-17 2333
智能合约作为区块链2.0的代表技术,适应于区块链去心化、分布式的特点, 具有独立运行、不可篡改的优良特性,可用于实现包含金融工具在内的各类分布式应用。开发者可以自行定义交易逻辑并开发代码发布到链上,合约代码在矿工节点的虚拟机环境(如EVM)执行。合约交易被打包进区块后,链上节点执行相同代码,从而同步改变链上数据状态。故合约的多方参与者无需建立信任,也无法相互欺骗。 合约运行在区块链节点,具有...
appscan安全漏洞修复
12-21
针对appscan安全漏洞扫描出的漏洞的一些解放方法。 1.不充分账户封锁 2.会话标识更新 3.跨站点请求伪造 4.启用了不安全的http方法 5.已解密的登录请求
IBM Security AppScan安装包
06-26
报告和监控:AppScan可以生成详细的报告,以帮助开发人员和测试人员确定需要进行修复的安全问题,同时还可以监控Web应用程序的安全性。 集成和可扩展性:AppScan可以与其他开发和测试工具集成,以提高开发和测试效率...
appscan9.0.txt
07-23
IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作...Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。
AppScan10.0.0.zip
07-20
AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
智能合约漏洞篇:常见漏洞介绍及整数溢出漏洞分析
Reveone的博客
09-16 862
智能合约是运行在区块链上的自动执行代码。由于它们的不可逆性和与金钱相关的特性,智能合约的安全问题受到了广泛关注。整数溢出与下溢:当整数变量的值超出其允许的范围时,可能会发生溢出或下溢,导致不可预测的结果。重入攻击:在一个函数调用,被调用的合约再次调用原函数,可能导致不希望的多次执行。例如,著名的DAO攻击就是重入攻击的一种。短时间浮动:在区块链上,时间和块高度可以被操纵。攻击者可以利用这点,通过挖矿操作来操纵合约的时间逻辑。随机性问题:在以太坊等区块链平台上,产生随机数是有挑战的,因为所有信息都是公开的。
JSON 处理缓存----了解如何在客户端缓存验证元数据
chenzijun20082008的专栏
11-20 906
每个应用程序的开发都是为了解决某个领域的问题。而每个领域都有自己的一套约束数据的规则和规范。应用程序将这些约束应用于数据时,约束也就成了验证。所有应用程序都需要验证用户输入的数据。目前,应用程序一般都使用 if-else 语句组合来验证数据。这些语句包含了开发人员硬编码或通过服务器端代码置入的验证数据。通常,开发人员会使用服务器端代码来避免可能导致 JavaServer Page(JSP)的细
Java GUI实现登录注册业务,并将用户信息存储到本地JSON文件(保姆级教程,从新建项目到运行项目)
m0_64642443的博客
06-05 1683
Java GUI实现登录注册业务,并将用户信息存储到本地JSON文件(保姆级教程,从新建项目到运行项目)
检测到目标Referrer-Policy响应头缺失
lxyoucan的博客
07-14 3190
Web 服务器对于 HTTP 请求的响应头缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。
HCL AppScan能发现什么安全问题?举例
07-15
HCL AppScan可以发现多种类型的安全问题,包括但不限于以下几个方面: 1. 注入攻击:例如SQL注入、OS命令注入等; 2. 跨站脚本攻击(XSS):包括反射型XSS和存储型XSS; 3. 跨站请求伪造(CSRF):攻击者利用受信任...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ikarosxx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值