漏洞扫描:AppScan 识别了不是通过 SSL 发送的密码参数

最新推荐文章于 2023-05-31 14:14:44 发布
最新推荐文章于 2023-05-31 14:14:44 发布
阅读量6.4k 收藏 7
点赞数 1
分类专栏: 优化 错误
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spt_dream/article/details/110850410
版权

1、AppScan简介
Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
AppScan 是对网站等 Web 应用进行安全攻击来检查网站是否存在安全漏洞;既然是攻击,需要有明确的攻击对象吧,比如北约现在的对象就是卡扎菲上校还有他的军队。对网站来说,一个网站存在的页面,可能成千上万。每个页面也都可能存在多个字段(参数),比如一个登陆界面,至少要输入用户名和密码吧,这就是一个页面存在两个字段,你提交了用户名密码等登陆信息,网站总要有地方接受并且检查是否正确吧,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,所有都是被攻击对象,都需要来检查。
2、AppScan安全扫描常见问题及解决思路
2.1、SQL 注入
推理: 测试结果似乎指示存在脆弱性,因为响应包含 SQL Server 错误。这表明测试设法通过注入危险字符穿透了应用程序并到达 SQL 查询本身。在这里插入图片描述
解决方法:编写拦截器或者过滤器,在请求方法执行之前判断参数中是否含有SQL的特殊字符(and、or、1=1、insert、select、update、delete、drop、’),如果有给予提示,没有则继续执行后续操作。
在这里插入图片描述
在这里插入图片描述
2.2、已解密的登录请求
推理: AppScan 识别了不是通过 SSL 发送的密码参数。
在这里插入图片描述
解决方法:密码使用MD5加密即可,即对input type为password的参数进行MD5解密操作。
2.3、查询中的密码参数
推理: AppScan 识别出查询字符串中接收到的密码参数
在这里插入图片描述
解决方法:敏感字段传参时,需要使用MD5加密。
2.5、跨站点脚本编制
推理: 测试结果似乎指示存在脆弱性,因为 Appscan 在响应中成功嵌入了脚本,在用户浏览器中装入页
面时将执行该脚本。
在这里插入图片描述
在这里插入图片描述
解决方法:编写拦截器处理跨站字符转义。
在这里插入图片描述

spt_dream
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
远程桌面终端服务加密SSL
07-22
当客户机使用SSL加密模式连接服务器并控制服务器后,在网络中传输的所有信息都是加密过的,黑客使用sniffer等工具无法抓取到可用的数据包。从而真真正正的将远程桌面的安全进行到底。远程操作界面也出现了SSL加密的图标。
脆弱的SSL加密算法漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
01-02 3312
脆弱的SSL加密算法漏洞原理以及修复方法
Web漏洞扫描AppScan.pdf
06-23
Web漏洞扫描AppScan用法教程
appscan漏洞扫描工具
07-12
appscan漏洞扫描工具: AppScan的安装 1、解压安装包,双击AppScan_Setup_10.0.0.exe运行,默认下一步安装完成即可。 2、将AppScanStdCrk文件夹中的rcl_rational.dll和AppScanStandard.txt复制到安装根路径下,覆盖原来的文件。 3、双击桌面快捷方式,打开软件,点击帮助->许可证->切换到IBM许可证。 4、点击打开Appscan License Manager,——>点击许可证配置->节点锁定许可证文件中点击“+”选择安装目录下的AppScanStandard.txt文本作为许可证. 5、许可证设置成功后可以正常使用
Web安全扫描工具:appscan安装和使用
08-19
Web安全扫描工具:appscan安装步骤、使用
HTTPS证书基本概述
m0_58584447的博客
08-08 355
为什么需要使用HTTPS,因为HTTP不安全,当我们使用http网站时,会遭到劫持和篡改,如果采用https协议,那么 数据在传输过程中是加密的,所以黑客无法窃取或者篡改数据报文信息,同时也避免网站传输时信息泄露。 https证书:SSH协议 那么在数据进行加密与解密过程中,如何确定双方的身份,此时就需要有一个权威机构来验证双方身份,那么这个权 威机构就是CA机构,那么CA机构又是如何颁发证书 模拟网站被篡改 # web01上编写nginx配置文件 [root@web01 conf.d]# .
IIS网站——SSL安全加密机制
Tech my Life
04-25 1971
 Windows网络操作系统内置的IIS是大家最常用的Web服务器。但在系统默认配置下,IIS使用的是“HTTP协议”以明文形式传输数据,没有采用任何加密手段,传输的重要数据很容易被窃取。这对于一些安全性要求高的网站来说,是远远不够的。为了保证重要数据的万无一失,IIS也提供了SSL安全加密机制,下面就向大家介绍如何在IIS服务器中使用SSL安全加密机制。生成证书请求文件   笔者以Win
一个实际问题分析及解决之三:websphere中SSL配置及使用
学习日记
05-08 8446
SSL配置是websphere security中很重要的一部分,具体详细阅读下面内容。 http://www.ibm.com/developerworks/websphere/techjournal/0612_birk/0612_birk.html 这里重点分析两个问题:KeyStore和TrustStore的区别以及如何使用websphere的ssl配置。 一.
CentOS SSL加密
aaaqili的专栏
04-03 708
//----------------------------------------【CentOS7 SSL 加密】-------------------------------------------------------- keytool -genkey -alias tlkx -keyalg RSA -keysize 1024 -keystore jwt.jks -validity 365 指定密钥名称: -keystore 指定密钥长度:-keysize 1024字节 指定加密算法:-key..
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 20万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
APPScan基础扫描-技术手册》
11-08
APPScan基础扫描-技术手册》这篇文档将教会你如何使用APPScan这款工具对web平台执行安全扫描喔~ 如果还有安全测试相关的其他问题,也欢迎随时来私聊我交流呀~ CSDN,知识分享,资源共享,希望和同在CSDN的你共同进步!你我皆是黑马
漏洞扫描工具appscan
11-26
对于一些网络安全管理人员、或者运维工程师等人来说,拥有趁手而实用性强的安全测试软件是很有必要的,Appscan就是这样一款软件。它可以支持多种分析方法,不同的分析方法适用于不同的分析要求和条件,可分析范围很广泛,因此适用人群也较为广泛,一些工程师或者开发人员也比较喜欢这个软件
服务器不支持ssl怎么回事,客户端和服务器不支持一般 SSL 协议版本或加密套件 解决方法...
weixin_42511373的博客
07-29 7万+
今天谷歌、火狐、QQ等相关浏览器打开网站,突然提示如下错误:此网站无法提供安全连接 www.huichengff.com 使用不受支持的协议。协议不受支持客户端和服务器不支持一般 SSL 协议版本或加密套件用火狐浏览器打开网站却提示如下错误:连接到 www.huichengff.com 时发生错误。无法安全地与对等端通信:没有双方共用的加密算法。 错误代码:SSL_ERROR_NO_CYPHER...
服务器系统及软件常见漏洞
Daoke37的博客
05-24 3992
漏洞名称 允许Traceroute探测 远端WWW服务支持TRACE请求 远端WWW服务提供了对WebDAV的支持 远端WEB服务器上存在/robots.txt文件 远端VNC服务正在运行 远端HTTP服务器类型和版本信息泄漏 远端DNS服务允许递归查询 远程代理服务器允许连接任意端口 远程代理服务器接受POST请求 远程VNC HTTP服务正在运行 利用SMB会话可以获取远程域或工作组列表 利用SMB会话可以获取远程浏览列表 利用SMB会话可以获取远程共享列表 利用SMB会话可以获取目标主机配置信息 利用
此站点的连接不安全,使用不受支持的协议。ERR_SSL_VERSION_OR_CIPHER_MISMATCH(不支持的协议 客户端和服务器不支持常用的 SSL 协议版本或密码套件。)
又菜又爱玩的小熊
05-31 10万+
之前自己的电脑未更新系统或者浏览器的时候使用的是IE浏览器,更新后变成了Microsoft Edge浏览器。导致之前很多访问的地址无法法访问了如图所示报错。
AppScan漏洞之“查询中的密码参数
逗神的博客
12-01 2075
AppScan漏洞之“查询中的密码参数
echarts更改坐标轴文字颜色及大小
spt_dream的博客
04-08 3万+
xAxis: { data: anameArr, axisLabel: { show: true, textStyle: { color: '#c3dbff', //更改坐标轴文字颜色 fontSize : 14 //更改坐标轴文字大小 } }, axisTick...
appscan漏洞扫描使用说明
07-14
AppScan是一款流行的漏洞扫描工具,用于识别和评估Web应用程序中的安全漏洞。以下是AppScan漏洞扫描的基本使用说明: 1. 安装和配置:下载并安装AppScan,然后按照提供的指南进行基本配置。确保您的系统满足最低要求并具有适当的许可证。 2. 创建项目:在AppScan中创建一个新项目,提供相关信息,如目标URL和认证凭据(如果需要)。您还可以选择其他配置选项,如扫描深度和扫描策略。 3. 配置扫描选项:根据您的需求选择适当的扫描选项。您可以选择执行全面扫描或仅针对特定漏洞类别执行扫描。 4. 启动扫描:点击"开始扫描"按钮启动扫描。AppScan将自动访问目标URL,并尝试发现潜在的漏洞。 5. 查看扫描结果:一旦扫描完成,您可以查看扫描结果报告。报告将列出检测到的漏洞及其严重性级别。您可以通过报告中提供的详细信息,了解每个漏洞的具体细节和修复建议。 6. 修复漏洞:基于AppScan的扫描结果,您应该尽快修复检测到的漏洞。根据漏洞的严重性级别,您可以优先处理高风险漏洞。 7. 定期扫描:漏洞扫描不是一次性任务,建议定期使用AppScan对Web应用程序进行扫描,以确保持续的安全性。 请注意,这只是AppScan的基本使用说明。根据您的具体需求和环境,您可能需要更多高级配置和操作。建议参考AppScan的官方文档和用户手册,以了解更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值