安全报告处理 HCL AppScan Standard

最新推荐文章于 2024-02-19 22:00:00 发布
最新推荐文章于 2024-02-19 22:00:00 发布
阅读量2.2k 收藏
点赞数
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34068082/article/details/119115019
版权

SQL 盲注

这次运用 sql转义字符来处理了

也可以直接拦截后返回


“Content-Security-Policy”头缺失或不安全

过滤器中Header

HttpServletResponse res = (HttpServletResponse)args1;
res.setHeader("Content-Security-Policy", "script-src * 'unsafe-inline' 'unsafe-eval';frame-ancestors 'self'; object-src 'self'");

“X-Content-Type-Options”头缺失或不安全

res.addHeader("X-XSS-Protection", "X-XSS-Protection: 1; mode=block");


“X-XSS-Protection”报头缺失或不安全

res.addHeader("X-Content-Type-Options", "X-Content-Type-Options: nosniff");


查询中接受的主体参数

@RequestMapping(value = "/aaaaa", method = RequestMethod.POST)
@RequestMapping(value = "/bbbbb", method = RequestMethod.POST)


HTML 注释敏感信息泄露

        直接删除无效的注释


应用程序错误

验证参数值是否在其预计范围和类型内。不要输出调试错误消息和异常

原因是 参数名 包含非法字符验证,

解决方法, 在过滤器中增加正则校验

public static boolean isCheck(String str) {
		String regEx = "[ `~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:”“’。,、?]|\n|\r|\t";
		Pattern p = Pattern.compile(regEx);
		Matcher m = p.matcher(str);
		return m.find();
	}

如果包含直接返回 错误码 和 提示信息

res.setCharacterEncoding("UTF-8");
res.sendError(123, "您的请求来源不合法!");

风起未来
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
RefitGenerator:根据OpenApi定义生成Refit客户端代码的工具
03-04
改装发电机 又名ReGen RefitGenerator是一个全球性dotnet tool用来生成从OpenAPI的架构客户端代码。 用法 输入regen -h将显示参数列表: -u或--url -OpenApi json或yaml的URL -f或--file -OpenApi json或yaml本地文件的路径 -o或--outputDirectory将生成的文件放在何处默认为当前目录 -p或--projectName项目名称和根名称空间默认为输出目录名称 --groupBy或--groupingStrategy将路径分组为接口的方法 默认为FirstTag 可能的值 FirstTag将数组中的第一个标签用于给定路径 MostCommonTag使用最常用的标签,产生最少数量的接口 LeastCommonTag使用最少的标签,产生最多数量的细粒度接口 -r或--removeIfExi
HCL AppScan Standard
小桥流水人家丶的博客
06-08 586
是一款一款功能强大的安全测试套件的渗透测试组件,用于测试Web应用程序和服务,具有先进的方法和技术来识别安全漏洞。
【已解决】“X-Content-Type-Options”头缺失或不安全
最新发布
ZL_1618的博客
02-19 1327
是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在中,今天我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。
漏洞扫描工具AppScan安装与使用
空明的博客
12-12 1223
漏洞扫描工具 AppScan 安装与使用
安全测试报告解读
09-27 5392
具体工作情景上篇Blog说了,此处不多赘言,写这篇,是因为后来我想起来这个测试报告的信息量很大,值得学习一下报告本身的一些技术内容,写这个blog就是这个个学习的过程。        这个报告AppScan8.6扫描得出,主要分为以下问题类型:         SQL 盲注8 SQL 注入1 跨站点脚本编制9 使用 SQL 注入的认证旁路1 已解密的登录请求5 链接注入(便于
渗透测试——安全漏洞扫描工具APPScan的安装与基本使用步骤
Darren洋的博客
09-04 1751
渗透测试——安全漏洞扫描工具APPScan的安装与基本使用步骤
安全扫描工具HCL AppScan最新版本10.0.7
06-01
亲测可用,可用于web应用安全扫描,规则库28150
安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196
10-15
优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。
HCL.AppScan.Standard.v10.0.4.Cracked-NGEN
04-28
来自网络的一款优秀的应用程序安全测试套件中的渗透测试组件,可用于测试Web应用程序和服务。
安全测试漏扫工具_HCL AppScan最新版本_10.0.8(28186)_2022年8月_appscan28150下载
08-05
自测可用!!!!! 安全测试漏扫工具_HCL AppScan最新版本_10.0.8(28186)_2022年8月_appscan28150下载
HCL AppScan10.0.0.rar
08-17
AppScan是一款常见的Web应用漏洞扫描器,原由IBM公司开发,现已被HCL公司收购。和别的Web应用漏洞扫描器类似,可以扫描识别Web应用和服务存在的漏洞并给出简要的修复方案。当然也会有一定量的误报,适用于渗透测试时...
记一次低危漏洞处理
Aliux_JLQ的博客
02-23 6689
Spring+Shiro低危漏洞处理
查询中接受的主体参数
blue_skye的专栏
09-21 4307
风险描述: 风险: 风险: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 原因: 原因: Web 应用程序编程或配置不安全 固定值: 固定值: 请勿接受在查询字符串中发送的主体参数 解决办法: 此类问题,需要匹配前后台的请求方法类型,如页面为post请求,后台接受方法应用post方式。 ...
中级漏洞处理
hzjhss的博客
09-02 782
看源码我们可以看到,在DefaultWebSessionManager这个类有2个属性,其中有一个就是Cookie,它的构造方法可以去改变cookie的值,从而给cookie加上SameSite属性。CSP的设置可以在一定程度上限制XSS攻击,有2种方式可以设置。遇到这种低危漏洞,一般来说就是去网上找一找处理方法,当找不到有效方法的时候,根据扫描结果和修复建议,可以尝试通过看源码解决。所以这里就对数据库后台的查询进行拦截,做一个统一的异常处理,使前台看不到这种报错,类似下图这种,具体的样式可以自己设计。
HCL AppScan Standard漏洞扫描处理记录
10-31 1907
AppScan漏洞扫描,nginx配置修改记录
参数验证
地推
10-23 546
系统调用必须仔细检查它们所有的参数是否合法有效。举例来说,与文件I/O相关的系统调用必须检查文件描述符是否有效。与进程相关的函数必须检查提供的PID是否有效。必须检查每个参数,保证它们不但合法有效,而且正确。 最重要的一种检查就是检查用户提供的指针是否有效。试想,如果一个进程可以给内核传递指针而又无须被检查,那么它就可以给出一个它根本就没有访问权限的指针,哄骗内核去为它拷贝本不允许它访问的数据,如原本属于其他进程的数据。在接收一个用户空间的指针之前,内核必须保证: 指针指向的内存区域属于用户空间。进程决
安全漏洞修复方法
yx1151903456的博客
05-15 1549
1.SQL注入问题(从userFunc取出来的corps和deps可以直接拼接,不存在sql注入) 2.XSS漏洞(跨站点脚本编制、通过框架钓鱼、连接注入) 注:并非所有参数都需要encodeForHTML编码,需要的有:页面跳转方法中的String类型参数;查询数据方法中的String类型且可能为中文的参数;保存方法中的String类型且数据库类型不是char类型的参数 3.Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Secu
2024最新APPScan Standard10.3.0版下载
weixin_43167326的博客
12-28 987
APPScan Standard是一款动态应用程序安全测试工具,专为安全专家和渗透测试人员设计。它可以对Web应用程序进行全面的漏洞扫描和安全性评估,以发现潜在的漏洞和安全风险。 HCL AppScan Standard具有以下特点和功能: 自动化扫描:可以自动扫描Web应用程序,发现可能的漏洞和弱点,无需手动操作。 深入的漏洞检测:支持针对常见漏洞(如SQL注入、跨站脚本等)的深度扫描和检测,以及对自定义漏洞的识别。 漏洞报告和分析:生成详细的漏洞报告,并提供分析和建议,帮助安全专家和渗透测试
AppScan的使用
Cper的博客
10-25 627
Appscan的基础使用
hcl appscan standard使用教程
05-23
HCL AppScan Standard 是一款应用程序安全性测试工具,可帮助用户检测和修复应用程序中的安全漏洞。以下是 HCL AppScan Standard 的使用教程: 1. 安装 HCL AppScan StandardHCL 官网下载 HCL AppScan ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

风起未来

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值