AppScan 漏洞扫描,响应状态为“200 OK”

最新推荐文章于 2024-07-02 09:18:35 发布
最新推荐文章于 2024-07-02 09:18:35 发布
阅读量4.5k 收藏 8
点赞数 1
分类专栏: AppScan 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011185986/article/details/106141841
版权
本文介绍了在AppScan扫描中遇到的Oracle Application Server PL/SQL未授权查询执行、日志文件信息泄露、压缩目录、归档文件下载、文件替代版本和临时文件下载等问题。这些问题均因请求返回的响应状态码为200 OK导致。通过修改HttpServletResponse中的setStatus状态码为301,可以有效地解决这些问题。
摘要由CSDN通过智能技术生成

APPScan 扫描系统遇到如下问题,可通过修改HttpServletResponse中setStatus状态码不为200解决,此处我修改为301。

1、Oracle Application Server PL/SQL 未授权的 SQL 查询执行

如图1所示问题:

图1

本系统使用的是MySQL,所以不需要去修改关于Oracle 的配置,造成这个问题的主要原因是:系统使用 /api/admin/user/owa_util.listprint?p_theQuery=SELECT%20*%20FROM%20SYS.TAB&p_cname=&p_nsize= 时请求返回的响应状态码为 “200 ok”,如图二所示:

图2

解决办法:访问系统无关请求时,设置返回状态码 301。如图3所示: 

图3

这个只是根据自己项目不同,在Severlet中设置返回的状态码。

 

2、Oracle 日志文件信息泄露

如图5所示问题:

最低0.47元/天 解锁文章
Thought_1997
关注
专栏目录
修复AppScan漏洞扫描: Oracle application server pl/sql未授权的sql查询执行
站在编程最高端,行在设计最前沿
11-22 1万+
一、问题描述: 使用App Scan扫描本公司互联网软件产品,报如下漏洞: Oracle Application Server PL/SQL 未授权的 SQL 查询执行 方法 方法 从以下位置进行控制: POST 至: GET 主体 主体 从以下位置进行控制: ****************** 至: 标题 标题 已从请求除去: application/x-www-...
Action 中 Response already committed 解决办法
发粪涂墙
02-18 6692
在一个roundtrip中response只能被发出一次,在一些验证码、文件下载中通过httpServletResponse.getOutputStream()和requestOutputStream.write()等方法已将response发出,再return ActionForward时被认为是再发送一次,因而报错。出现这种情况的时候,后面的return将只可以返回null,这可以由httpS
App scan 扫描安全漏洞解决方案
talen_hx的博客
08-10 1898
项目上要进行IBM的App scan安全漏洞扫描,要有Web应用程序报告,网上找了不少内容,集中项目中,常出现的有以下几类 发现压缩目录 直接在nginx上,添加配置 location ~* \.(php|zip|arj|lzma|wim|war|ear|ar)$ { deny all; } 限制不能传后缀为这些的 Oracle Application Server PL/SQL 未授权的 SQL 查询执行 查询执行 如果确定没用oracle,那应该是controlle...
HTTP 响应状态码不为 200,怎么处理?
最新发布
m0_56653160的博客
07-02 1663
当我们发现前端报错时(比如数据为空、数据展示错误、点击按钮后没有任何反映、提交错误等),首先要按 F12 打开浏览器的开发者工具,查看网络请求的状态码和响应结果,从而快速判断问题到底出现在前端还是后端。正常情况下,后端返回的状态码应该是 200 OK(或者其他 2 开头的状态码),表示正常响应。这个时候,再去看响应的数据是否符合预期:而如果请求的状态码是其他 4 开头或者 5 开头的,需要再去针对性地分析。当然,针对不同的状态码,我们有一些常见的 Bug 解决套路。
Response already committed.
南臣子
05-13 4086
在生产环境中,系统日志非常高频度地出现下面的告警信息: [09-11-26 16:24:26:389 GMT+08:00] 00185db6 SRTServletRes W WARNING: Cannot set header. Response already committed. 这个是WAS抛出的警告,意思是http response已经提交(通过调用了response.flu...
AppScan
03-05 7528
1 安装 1.1 AppScan 安装 将 AppScan 安装保存在计算机中,双击它,然后根据提示操作。 1.2 注册文件安装 AppScan 安装中包括一个允许扫描指定站点的注册文件(见章节 1.4),但是不能扫 描其他站点。
Tomcat服务器response header 200 OK问题
weixin_37469575的博客
09-12 5838
记录一个刚踩的坑,因为公司用某的某厂商的设备,该设备发送http请求之后要求response header中 返回 HTTP/1.1 200 OK ,众所周知,status code 200表示连接成功 ,而OK 是reasonPhrase。 而我用的是tomcat 8.5/9.0版本,只有个HTTP/1.1 200 没有OK,然后厂商那边也是坑爹,有个200还不满足,字符串判断非要...
java后台如何将服务器返回的response的200状态码改成其他错误
馒头花卷儿
12-09 5962
摘要:这个题目看着挺荒唐的,200已经请求成功了怎么就给改成其他的失败呢?其实这里只是更好的能认识response而已,指不定哪天你能用到呢。 这个代码是我用来返回response用的,这里写一下设置response,主要是体现设置返回状态码 public class ReturnJson { public static void returnJson(HttpServle...
Security Appscan Standard 漏洞扫描及补漏洞
YouXu
03-03 4816
IBM Security Appscan 介绍 IBM Security AppScan 在应用程序开发的生命周期过程中提供安全测试, AppScan 扫描很多常规的漏洞,比如跨站脚本攻击(cross site cripting),HTTP 响应分割(HTTP response splitting),参数篡改(Parameter Tampering)等等。
AppScan开始使用.pdf
09-11
AppScan是一款功能强大的安全扫描工具,用于检测Web应用程序中的安全漏洞。安装AppScan非常简单,只需将其安装包保存在计算机上,双击运行安装程序,并按照提示完成安装过程即可。 **1.2 注册文件安装** 为了正常...
Oracle进程会话及SQL执行查询
11-05
查看运行过的SQL语句 查看某session的历史执行sql情况
AppScan的Web应用安全测试使用简明
08-18
很好用的文档,步骤+步骤图片
《IBM Security AppScan Standard 使用方法,本人实践》
热门推荐
【✎__三味書屋】的博客
11-15 3万+
欢迎大家访问!!^_^
but ServerHttpResponse already committed错误处理
进击的小白
08-31 9140
现象 [587ce8c8] Error [reactor.netty.ReactorNetty$InternalNettyException: java.nio.channels.ClosedChannelException] for HTTP GET "/xxxx", but ServerHttpResponse already committed (200 OK) 原因 请求主动断开导致netty无法处理channel,报出异常,请求状态499,可以忽略。 处理方案 过滤该...
关于"response already committed" 的问题
fire314159
12-22 8183
最近遇到一个问题,觉得挺有意思。 现在正在将一个项目从web service 转到 EJB2 (是否觉得很奇怪?),转移过程中出现了一些问题。其中一个exception如下: java.lang.IllegalStateException:   response   already   committed 当时第一个反应是可能页面 forward跳转或者buffer size不够了。因为我们用的是...
AppScan安全漏洞报告
收集盒 Book box
01-06 1431
1.会话cookie 中缺少HttpOnly 属性。   修复任务: 向所有会话cookie 添加“HttpOnly”属性    解决方案,过滤器中,  Java代码   HttpServletResponse response2 = (HttpServletResponse)response;   //httponly是微软对cookie做的扩展,该值指定 Cook
appscan扫描修复记录(一)
猩猩林
06-25 863
1. 加密会话(SSL)Cookie 中缺少 Secure 属性(解决) 在nginx中设置cookie属性,在配置文件中server模块设置:add_header Set-Cookie “Secure”; 利用fiddler抓包,查看请求响应中cookie是否包含secure属性 2. 检车到rc4密码套件(解决) rc4是弱密码套件,可以在ngnix配置文件中禁用该弱密码套件 ngnix...
oracle未授权sql查询,Oracle sql查询 not in 谨防陷阱
weixin_32205867的博客
04-09 416
sql查询 not in 谨防陷阱首先来说说Oracle中的NULL。Oracle中的NULL代表的是无意义,或者没有值。将NULL和其他的值进行逻辑运算,运算过程中,NULL的表现更象是FALSE。下面请看真值表:AND NULLOR NULLTRUENULLTRUEFALSEFALSENULLNULLNULLNULL语句1:Select * from table1 A where A.col...
appscan漏洞扫描使用说明
07-14
AppScan是一款流行的漏洞扫描工具,用于识别和评估Web应用程序中的安全漏洞。以下是AppScan漏洞扫描的基本使用说明: 1. 安装和配置:下载并安装AppScan,然后按照提供的指南进行基本配置。确保您的系统满足最低...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值