appscan 安全漏洞修复

最新推荐文章于 2024-02-22 14:40:36 发布
最新推荐文章于 2024-02-22 14:40:36 发布
阅读量313 收藏
点赞数
分类专栏: java 文章标签: security appscan 安全漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/serisboy/article/details/84121064
版权
1.会话标识未更新:登录页面加入以下代码 

    request.getSession(true).invalidate();//清空session
    Cookie cookie = request.getCookies()[0];//获取cookie
    cookie.setMaxAge(0);//让cookie过期

不是很明白session的机制,高手路过可以指教一下。
2.跨站点请求伪造:
在出错的url加参数sessionid。 

response.getWriter().write(	"<script>parent.location.href='dbase/admin/loginJsp.action?sessionId="+sessionId+"'</script>");

如果带参数报ssl错误,使用下面的post方式传值: 

response.getWriter().write(
				"<script language=\"javascript\"> " +
				"document.write(\"<form action=dbase/admin/loginJsp.action method=post name=formx1 style='display:none'>\");" +
				"document.write(\"<input type=hidden name=name value='"+sessionId+"'\");" +
				"document.write(\"</form>\");" +
				"document.formx1.submit();" +
				"</script>"
				);

3.启用不安全HTTP方法 

修改web工程中或者服务器web.xml,增加安全配置信息,禁用不必要HTTP方法
  <security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
      <http-method>DELETE</http-method>  
      <http-method>HEAD</http-method>  
      <http-method>OPTIONS</http-method>  
      <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
 </security-constraint>  
 <login-config>  
   <auth-method>BASIC</auth-method>  
 </login-config>

4.已解密登录请求
配置SSL,具体见[url]http://serisboy.iteye.com/admin/blogs/1320231[/url]
在web.xml加入如下配置。 

<security-constraint>  
       <web-resource-collection >  
              <web-resource-name >SSL</web-resource-name>  
              <url-pattern>/*</url-pattern>  
       </web-resource-collection> 
       <user-data-constraint>  
              <transport-guarantee>CONFIDENTIAL</transportguarantee>  
       </user-data-constraint>  
</security-constraint>

5.高速缓存的ssl页面 
页面
<meta http-equiv="Pragma" contect="no-cache">

java代码
response.setHeader("Pragma", "No-cache");

6.目录列表
配置文件目标拒绝访问。
在conf/web.xml下: 

<servlet> 
<servlet-name> default </servlet-name> 
<servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class> 
<init-param> 
<param-name> debug </param-name> 
<param-value> 0 </param-value> 
</init-param> 
<init-param> 
<param-name> listings </param-name> 
<param-value> false </param-value> 
</init-param> 
<load-on-startup> 1 </load-on-startup> 
</servlet>

把listings对应的value设置为fasle.
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml 中,把
servlet-name改为其它的,再加一下servlet-mapping 

<servlet> 
<servlet-name> default1 </servlet-name> 
<servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class> 
<init-param> 
<param-name> debug </param-name> 
<param-value> 0 </param-value> 
</init-param> 
<init-param> 
<param-name> listings </param-name> 
<param-value> false </param-value> 
</init-param> 
<load-on-startup> 1 </load-on-startup> 
</servlet> 
<servlet-mapping> 
<servlet-name> default1 </servlet-name> 
        <url-pattern> / </url-pattern> 
<servlet-mapping>
啊彪123
关注
专栏目录
APPScan安全漏洞扫描
zengshaotao的专栏
04-16 7603
IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer over...
安全扫描工具AppScan10
05-29
IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...
appscan安全漏洞修复
12-21
针对appscan安全漏洞扫描出的漏洞的一些解放方法。 1.不充分账户封锁 2.会话标识未更新 3.跨站点请求伪造 4.启用了不安全的http方法 5.已解密的登录请求
AppScan安全漏洞报告
收集盒 Book box
01-06 1430
1.会话cookie 中缺少HttpOnly 属性。   修复任务: 向所有会话cookie 添加“HttpOnly”属性    解决方案,过滤器中,  Java代码   HttpServletResponse response2 = (HttpServletResponse)response;   //httponly是微软对cookie做的扩展,该值指定 Cook
如何修复AppScan漏洞
weixin_33831673的博客
10-29 928
[AppScan]修复漏洞一:启用不安全的HTTP方法 (中) 漏洞背景:      “启用了不安全的 HTTP 方法”属于“中”危漏洞。漏洞描述是:根据APPSCAN的报告,APPSCAN通过OPTIONS请求,当响应中发现DELETE、SEARCH、COPY等方法为允许方法时,则认为是漏洞。 修改建议:可采用3种方法:1.禁用WebDAV功能,能根本解决。不引入新的不稳定因素2.使用UR...
appscan 安全漏洞修复办法
weixin_30846599的博客
02-11 222
appscan 安全漏洞修复办法http://www.automationqa.com/forum.php?mod=viewthread&tid=3661&fromuid=21 转载于:https://www.cnblogs.com/hackchecker/p/3545131.html
安全扫描appscan问题及修复
最新发布
woshidalao12138的博客
02-22 516
之前还有用过Acunetix,但是没有AppScan好用1、部署AppScan2、新建一个扫描,录制登录程序3、可以选择让程序自己进行全盘扫描或者选择手动搜索4、可以选择全盘扫描,然后在里面再选择手动探索。会弹出一个谷歌浏览器,程序会记录下你访问了哪些接口,然后判断你这些请求是否有问题。需要注意的是,程序会修改你的入参然后批量访问接口,会造成大量脏数据,有需要可以提前备份一下数据库。5、结束了之后,就生成导出报告,就选择第一个tab的生成pdf就好,或者直接看一下结果。
AppScan安全测试漏洞检测工具10.4版本
12-25
**AppScan安全测试漏洞检测工具10.4版本详解** IBM AppScan是一款广泛使用的安全测试工具,主要用于检测Web应用程序中的安全漏洞。它以其强大的扫描功能和全面的安全评估能力,在IT行业中备受推崇。AppScan 10.4...
IBM Appscan爆高危漏洞 广大用户需及时修复
10-23
总之,IBM AppScan的这个高危漏洞揭示了即使是最受信任的安全工具也可能存在的安全隐患。用户和开发者都需要时刻保持警惕,采取积极的防护措施,以应对不断演变的网络安全威胁。及时的补丁应用、严格的软件安全控制...
Appscan安全漏洞修复
weixin_34318326的博客
07-03 347
1.会话标识未更新:登录页面加入以下代码   request.getSession(true).invalidate();//清空session   Cookie cookie = request.getCookies()[0];//获取cookie   cookie.setMaxAge(0);//让cookie过期   request.ge...
javaWeb安全验证漏洞修复总结
12-29
javaWeb安全验证漏洞修复总结j,涉及到1.会话未更新。2.SQL注入,盲注。3已解密请求。4.跨站点请求伪造。5不充分账户封锁 等近10来个的问题解决心得
IBMAppScan10.0.0
05-09
appscan10.0.0+构建22023,亲测可用,AppScan是用于web项目的安全测试工具,扫描网站所有url,自动测试是否存在各种类型的漏洞。appscan安装在Windows环境上,版本越高,规则库越全,扫描越全面。
HCL.AppScan.Standard.v10.0.4.Cracked-NGEN
04-28
来自网络的一款优秀的应用程序安全测试套件中的渗透测试组件,可用于测试Web应用程序和服务。
最新版AppScan9.0.3.12破解版(含最新补丁)
05-16
安装说明: 1、双击9.0.3.12-AppScan_Setup.exe进行安装; 2、安装完成先不要打开,双击更新补丁包9.0.3.12_iFix001-Update.msp进行升级; 3、找到文件的安装目录,将LicenseProvider.dll破解文件,复制到安装目录下并替换原文件。
Java 安全问题修复
str0708的博客
07-17 500
1 修复登录之后session id不改变的问题 public static void reGenerateSessionId(HttpServletRequest request){ HttpSession session=request.getSession(); Map&lt;String,Object&gt; tempMap= Maps.newConcurrentMap(); En...
IBM AppScan 之web项目安全问题
qq_16972445的博客
01-07 315
web项目缺少各种响应头不设置 在过滤器中设置 response.addHeader(“x-frame-options”,“SAMEORIGIN”); response.addHeader(“X-XSS-Protection”,“X-XSS-Protection: 1;mode=block”); response.setHeader(“Content-Security-Policy”,“frame...
Web漏洞扫描器—AppScan
m0_55313512的博客
02-28 1554
Web漏洞扫描器—AppScan
appscan扫描修复记录(一)
猩猩林
06-25 861
1. 加密会话(SSL)Cookie 中缺少 Secure 属性(解决) 在nginx中设置cookie属性,在配置文件中server模块设置:add_header Set-Cookie “Secure”; 利用fiddler抓包,查看请求响应中cookie是否包含secure属性 2. 检车到rc4密码套件(解决) rc4是弱密码套件,可以在ngnix配置文件中禁用该弱密码套件 ngnix...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值