appscan-安全扫描(测试)问题修复

最新推荐文章于 2024-08-28 11:15:15 发布
最新推荐文章于 2024-08-28 11:15:15 发布
阅读量748 收藏 10
点赞数 11
文章标签: 安全 python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/twobun/article/details/136171818
版权

sql注入
// 全局添加ExceptionHandler处理,
@ExceptionHandler({Exception.class})
// 修改代码中数据exceptpiton信息的地方

queryKeywords
// 可以考虑修改queryKeywords等 的字段名,或者修改为post请求

缺少Secure,缺少SameSite

https://blog.csdn.net/guo15890025019/article/details/123071441

proxy_cookie_path / "/; httponly; secure; SameSite=Lax; Secure";

// 设置为None 关闭SameSite
proxy_cookie_path / "/; httponly; secure; SameSite=None; Secure";

检测到 RC4 密码套件、检测到 SHA-1 密码套件,密码套件相关
在nginx的nginx.conf 文件server下加入:

ssl_ciphers ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE:!SHA-1;

主机允许从任何域进行flash访问
前端打包去掉这个文件


日志文件泄漏

修改响应状态码为500
image.png

api不当资产管理

对api进行加密,geoserver进行加密

https://10.1.78.13:38091/geoserver/drain_chengdu/ows/nonexistingurl?service=WFS&version=1.0.0&request=GetFeature&typename=v_2_drain_model_solution_max_deep&srsname=EPSG:4326&outputFormat=application/json

https://build.geoserver.org/geoserver/2.23.x/ext-latest/ 下载的文件放入webapps/geoserver/WEB-INF/lib/ 然后重启geoserver
https://www.cnblogs.com/defineconst/p/13884616.html

api成批加密
spring:
  jackson:
    serialization:
      # 某些类对象无法序列化的时候,是否报错
      fail_on_empty_beans: true
    deserialization:
       # json对象中有不存在的属性时候,是否报错
      fail_on_unknown_properties: true

CORS 策略根据任意初始头进行设置
add_header 'Access-Control-Allow-Origin' 'youer.domain';

较老的tls版本

禁用TLS 1.0: 在SSL配置块中,找到 ssl_protocols 指令,并将其设置为只允许更安全的TLS版本,例如TLS 1.1、TLS 1.2和/或TLS 1.3。删除或注释掉 SSLv3 和 TLSv1 部分,以禁用TLS 1.0。示例配置如下:

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

参考文章

https://blog.csdn.net/youuzi/article/details/132674960

twobun
关注
安全测试漏扫工具-HCL AppScan-10.5.0(28368)-2024年4月-下载
04-12
重新设计了AppScan Connect - AppScan Enterprise界面,以允许立即或延迟扫描执行以及选择扫描方法的能力。 能够轻松地将完整的测试列表(不包括变体)从测试策略导出到 CSV 文件,无论测试是否启用。 问题视图中...
appscan扫出API成批分配问题解决
qq_41835151的博客
10-26 6600
appscan扫出API成批分配问题解决
基于Appscan扫描漏洞修复方案
weixin_46659330的博客
07-20 4445
基于Appscan扫描发现的漏洞,以及风险分析,解决方案
AppScan安装及使用教程(实测可用-超详细)
最新发布
weixin_44892179的博客
08-28 890
AppScan是一款值得推荐的网络安全测试工具,它提供了全面的安全检测功能,适用于Web应用和移动应用程序的安全性评估和漏洞扫描
cors基础,响应头设置
qq_57057576的博客
08-09 2438
服务端设置 Access-Control-Allow-Origin 就可以开启 CORS,该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。CORS 需要浏览器和后端同时支持,浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端,只要后端实现了 CORS,就实现了跨域。(与cors相关的响应头,都是以 access-control-allow开头的响应头)根据 请求头和请求方式 的不同,cors请求分为 简单请求和预检请求。...
浏览器安全策略 & CORS
我是一只蘑菇17的博客
12-20 1190
CORS全称Cross-Origin Resource Sharing, 即跨域资源共享,是一个由一系列HTTP头组成的系统,这些HTTP头决定浏览器是否阻止前端javascript代码获取跨域请求的响应。为什么需要CORS ? 这是因为浏览器存在同源安全策略,当我们在当前域请求另外...
SpringBoot配置Cors解决跨域请求问题
weixin_42571463的博客
12-28 421
一、同源策略简介 再此声明来源于:https://www.cnblogs.com/yuansc/p/9076604.html 这里供自己学习参考。 同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。 什么是源 源[origin]就是协议、域名和端口号。例如:http://www.baid...
spring boot项目 CORS设置
Miss M
04-30 1518
1.全局配置 这个类要和接口在同一个目录下 package com.example.tunnel; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.spring...
AppScan安全测试总结.docx
06-30
扫描结束后,AppScan提供详尽的报告,包括发现的漏洞类型、漏洞原理的解释、修复建议以及手动验证的方法,这对于开发团队理解和解决安全问题十分有帮助。 安装AppScan的过程相对简单,只需按照提示进行,包括选择...
安全扫描工具AppScan10
05-29
这款工具的核心价值在于帮助开发者和安全团队在开发过程中尽早发现并修复安全问题,防止潜在的网络安全威胁对业务造成损害。 ### 安全扫描的重要性 在数字化日益普及的今天,应用程序成为企业与用户交互的关键通道...
AppScan安全测试漏洞检测工具10.4版本
12-25
通过这种方式,它能够在开发早期发现潜在的安全问题,如SQL注入、跨站脚本(XSS)等,从而降低了修复成本。 2. **动态分析**:AppScan的动态分析功能允许在应用程序运行时进行扫描,监测实际的用户交互。这有助于...
安全扫描工具HCL AppScan最新版本10.0.7
06-01
安全扫描工具HCL AppScan最新版本10.0.7】是一款强大的Web应用程序安全测试解决方案,由全球知名科技公司HCL Technologies开发。这个版本带来了最新的功能和改进,旨在为用户提供更高效、全面的安全评估体验。...
Chrome CORS 安全策略解决方案
qq_42881675的博客
07-06 1700
谷歌 CORS 安全策略解决方案 针对莫能臣前端同事的日志。 问题 谷歌在 80 版本的时候使用了 HTTP 响应头属性 SameSite,它用于声明 Cookie 是否仅限于第一方或者同一站点上下文中。 简单地说,SameSite 决定了跨域时 Cookie 是否能够存储。 按理说这是后端的事,让后端加响应头就行了,但是 这个属性在非 https 协议时是强制开启的。 这就很麻烦了,线下搞个 https 成本太高。 Chrome 在 80 ~ 91 版本时,可以修改浏览器配置关闭此功能。91 版本后浏览器
Nginx配置跨域(CORS)
热门推荐
weixin_44273388的博客
04-15 5万+
nginx的跨域配置
使用appscan实现多站扫描简单自动化
weixin_34192816的博客
10-31 595
因为appscan在新建扫描任务的时候只能输入一个target,并且没有awvs/nessus那样提供web接口,导致我以前一直以为appscan不能像awvs那样批量建立任务自动扫描。 不过,今天要分享的一点经验只是实现简单的appscan自动化扫描。 其实很简单,appscan的GUI界面新建扫描任务时虽然只能指定一个target,并且也没有提供类似awvs/nessus的web接口,但是...
接口安全测试
xiaobai178的博客
02-23 780
“开源 Web 应用安全项目”(OWASP)在 2019 年发布了API 十大安全风险 《OWASP API 安全 Top10》:失效的对象级别授权、失效的用户身份验证、过 度的数据暴露、资源缺乏和速率限制、失效的功能级授权、批量分配、安全配置 错误、注入、资产管理不当、日志和监视不足位列其中。 1. 失效的对象级别授权 失效的对象级别授权是指:用户与服务器使用API进行通信时,服务器端未进行对象级别的权限控制或限制不严格。攻击者可以通过修改请求数据中的对象ID 等信息,实现未授权获取或修改敏感信息。 eg
API接口安全风险大盘点:常见漏洞一览
网络安全
03-13 1673
了解接口常见漏洞,将帮助你在测试接口获取更多的思路。
Spring security 框架
m0_58203725的博客
11-10 443
关于Spring Security学习及搭建过程的详解 该内容仅是自己对Spring Security的一些理解,如有不足,请多指点
AppScan安全测试实战:从配置到扫描
- 自动扫描:一旦配置完成,可以开始自动扫描AppScan将遍历指定URL下的所有链接,检测潜在的安全问题。 - 手动扫描:对于自动扫描未覆盖的链接或区域,可以进行手动检查,通过AppScan的内置浏览器浏览站点,点击...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值