App scan 扫描安全漏洞解决方案

最新推荐文章于 2024-07-08 13:40:54 发布
最新推荐文章于 2024-07-08 13:40:54 发布
阅读量1.9k 收藏 1
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/talen_hx/article/details/119563011
版权

项目上要进行IBM的App scan安全漏洞扫描,要有Web应用程序报告,网上找了不少内容,集中项目中,常出现的有以下几类

  1. 发现压缩目录
    直接在nginx上,添加配置
    location ~* \.(php|zip|arj|lzma|wim|war|ear|ar)$ {
              deny all;
    }
    限制不能传后缀为这些的
  2. Oracle Application Server PL/SQL  未授权的 SQL 查询执行 查询执行
    如果确定没用oracle,那应该是controller的问题,用了PathVariable,然后参数是数字型,扫描传了字符串,可以改为字符串,然后判断是否数字,
    还有其它修改方式,主要是传了有SQL脚本的字符串,但全局性异常抓取了,但软件要求不能返回状态为200

  3. 跨站点请求伪造
    解决这个有两种方式
    一种是在网关上,判断referer里面的ip,要在信任的ip范围内,不在里面,返回错误报文
    一种是在nginx上,添加referer白名单

    valid_referers none blocked 127.0.0.1 192.168.0.1;

    if ($invalid_referer) {
            return 403;
    }

  4. Apache Struts2 REST 插件 XStream 远程代码执行
    在确定没用struts2的前提下,看有没以下依赖,如果有,删除依赖包 
    <dependency>
    <groupId>com.thoughtworks.xstream</groupId>
    <artifactId>xstream</artifactId>
    <version>1.4.10</version>
</dependency>

  5. “Content-Security-Policy”头缺失或不安全
    在nginx添加配置
    add_header Content-Security-Policy "default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'; frame-ancestors 'self'; ";
    default-src 'self'; script-src 'self'; connect-src 'self'; 这三个为必须项,但有时会影响前端js,所以,要根据策略进行修改
  6. “X-Content-Type-Options”头缺失或不安全 头缺失或不安全
    在nginx添加配置
    add_header X-Content-Type-Options nosniff;
  7. “X-XSS-Protection”头缺失或不安全 头缺失或不安全
    在nginx添加配置
     add_header X-XSS-Protection "1; mode=block";
talen_hx296
关注
AppScan 漏洞扫描,响应状态为“200 OK”
u011185986的博客
05-15 4528
APPScan 扫描系统遇到如下问题,可通过修改HttpServletResponse中setStatus状态码不为200解决,此处我修改为301。 1、Oracle Application Server PL/SQL 未授权的 SQL 查询执行 如图1所示问题: 图1 本系统使用的是MySQL,所以不需要去修改关于Oracle 的配置,造成这个问题的主要原因是:系统使用/api/admin/user/owa_util.listprint?p_theQuery=SELECT%20*%20FRO.
初识AppScan
weixin_40100234的博客
06-24 3410
1、AppScan是什么?AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描扫描之后会提供扫描报告和修复建议等。AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)工作原理:1)通过探索了解整个web页面结果2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试3)分析 Response 来验证是否存在安全漏洞2、AppScan破解并添加许可证(1)安装文件
oracle未授权sql查询,【oracle使用笔记3】sql查询遇到的若干问题总结
weixin_31642733的博客
04-09 421
在整个开发过程当中,sql查询操做的频率比较高,在不一样的业务场景下会出现不一样的查询需求,如下是我在项目中遇到的查询需求,总结一下。sql【查询一】:取查询出的第一条数据oracleselect*from(select * from[tableName] order by [key] asc/desc ) where rownum = 1函数【查询二】:查询数值数据时,小于0...
2024最新最全:漏扫工具Appscan使用(非常详细)从零基础入门到精通,看完这一篇就够了。
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
07-08 2408
AppScan是一款商业化的web安全扫描工具,web扫描领域十分受欢迎。
IBM Security App Scan 资料整理
六月心悸
11-23 3499
这是学习和使用IBM AppScan过程中总结整理的一些资料。 扫描系统操作步骤: 1.去IBM官网下载IBM Security AppScan Standard 产品,然后下载破解文件进行替换。 2.按步骤安装,有的扫描过程可能还要下载WebServer,看具体情况 3.安装成功的话,看需要是否要配置Glass Box,具体方法可以查看AppScan Standard的帮
AppScan
weixin_44940180的博客
08-25 1万+
AppScan是用于web项目的安全测试工具,扫描网站所有url(自动+手动),自动测试是否存在各种类型的漏洞。 使用步骤 选择记录 就会弹出appscan自带的浏览器,在其中输入账号密码,appscan就会自动记录 点击下一步 等appscan自动爬取完后,可以进行一个手工,浏览每个页面,使爬取到的页面更全 下面是扫描到的问题 并且还给出了修复建议 还可以进行手动测试 选项 排除 某些(*./logout.php) 页面 修改扫描策略 创建报告 暴破账号密码
Appscan的使用
tangxl_99的博客
08-04 290
一、AppScan说明 appscan是一款功能非常强大的网站漏洞扫描工具,它可以为专业的网站安全防护人员进行web程序的安全性评估,帮助用户扫描网站中隐藏的url和其它安全问题,为你的网站做出最准确的分析。 参考;https://blog.csdn.net/xiao1542375620/article/details/52388353 其他后面都是我的截图,这个参考里面基本全部包含了 二、App...
AppScan的使用教程
guanjian_ci的博客
03-05 1610
一、AppScan下载地址(破解版) 具体请参考:AppScan9.0.3.6破解版教程与免费下载 二、AppScan安装 具体请参考:AppScan下载、安装、使用教程 - 付杰博客 三、AppScan使用 AppScan使用其实也很简单,毕竟界面都是中文的。具体的使用步骤如下: 1.点击左上角文件新建扫描,或者使用快捷键Ctrl+N新建扫描: 2.选择常规扫描,并点击下一步 3.输入你要扫描的URL地址 4.点击下一步,选择是,继续下一步,直到点击完成。 5.选择
安全扫描工具HCL AppScan最新版本10.0.7
06-01
安全扫描工具HCL AppScan最新版本10.0.7】是一款强大的Web应用程序安全测试解决方案,由全球知名科技公司HCL Technologies开发。这个版本带来了最新的功能和改进,旨在为用户提供更高效、全面的安全评估体验。...
实验二:漏洞扫描之Nessus
weixin_46544151的博客
04-18 8550
目录 一、实验目的及要求 二、实验原理 三、实验环境 四、实验步骤及内容 4.1Nessus的使用 4.2 Policies 五、实验总结 六、分析与思考 一、实验目的及要求 掌握漏洞扫描器Nessus的安装及使用 对扫到的漏洞进行了解或者进一步的利用拿到权限 二、实验原理 漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。 从防御的角度上考虑,漏洞扫描技术是一类...
修复AppScan漏洞扫描: Oracle application server pl/sql未授权的sql查询执行
站在编程最高端,行在设计最前沿
11-22 1万+
一、问题描述: 使用App Scan扫描本公司互联网软件产品,报如下漏洞: Oracle Application Server PL/SQL 未授权的 SQL 查询执行 方法 方法 从以下位置进行控制: POST 至: GET 主体 主体 从以下位置进行控制: ****************** 至: 标题 标题 已从请求除去: application/x-www-...
Appscan10.0.4.zip
05-25
好物推荐:个人觉得比awvs更好用的WEB扫描器,缺点就是慢,优点就是发现问题会更多 使用方法:安装完软件后,把Crack文件夹里的文件,复制到软件根目录即可正常使用
GCR镜像漏洞扫描:确保容器安全的有效策略
![GCR镜像漏洞扫描:确保容器安全的有效策略]...GCR镜像漏洞扫描是确保镜像安全性的关键步骤,它通过自动检测容器镜像中潜在的安全漏洞来帮助开发团队提前发现和修补风险。
利用Instabug进行移动应用安全性评估和漏洞扫描
因此,对移动应用的安全性进行全面评估,以及及时发现和修复潜在的安全漏洞至关重要。 ## 1.2 安全性评估的一般步骤 移动应用安全性评估一般包括安全需求分析、安全设计评审、安全编码规范、安全测试和安全监控五...
appscan教程》 一 appscan部署
程序猿学社的博客
08-28 2903
1 准备篇 链接:https://pan.baidu.com/s/1awZyGZoA_p838jBrsqfYrg 提取码:iuc8 复制这段内容后打开百度网盘手机App,操作更方便哦 2.安装篇 点击下一步,进行傻瓜式安装,安装过程中会有提醒要重启电脑,点击确定就行。 安装成功后,桌面会多一个图标 注意:第一次可能会英文的 修改方法:对应位置,工具--》选项 改了...
浅谈安全测试之AppScan
datacreating的博客
05-24 1293
Appscan还有很多安全测试策略,可供各种安全扫描,总体来说,还是很强大的,感兴趣的小伙伴可进行深层次挖掘,互相学习,共同促进!
AppScan 扫描工具及使用
zkaqlaoniao的博客
04-26 1249
原名 watchire Appscan ,2007年被IBM收购,成为IBM Appscan。IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞
AppScan的用法
He_200988的专栏
09-22 6719
一、AppScan的工作原理 对一个综合性的大型网站来说,可能存在成千上万的页面。以登录界面为例,至少要输入用户名和密码,即该页面存在两个字段,当提交了用户名和密码等登录信息,网站需要检查是否正确,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,可能成为被攻击对象。AppScan正是通过按照设定策略和规则,对Web应用进行安全攻击,以此来检查网站是否存在安全漏洞。 在使用AppScan的时候,通过配置网站的URL网址,AppScan会利用“探索”技术去发现这个网站存在多少个目录
AppScan检测“Content-Security-Policy”头缺失或不安全
热门推荐
liudoyang的博客
12-31 2万+
“Content-Security-Policy”头缺失或不安全AppScan对url进行检测出现“Content-Security-Policy”头缺失或不安全问题 解决方法: 在拦截器或者过滤器中添加 response.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self'; frame-anc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值