AppScan 漏洞扫描,响应状态为“200 OK”

最新推荐文章于 2024-06-24 10:40:26 发布
最新推荐文章于 2024-06-24 10:40:26 发布
阅读量4.4k 收藏 8
点赞数 1
分类专栏: AppScan 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011185986/article/details/106141841
版权
本文介绍了在AppScan扫描中遇到的Oracle Application Server PL/SQL未授权查询执行、日志文件信息泄露、压缩目录、归档文件下载、文件替代版本和临时文件下载等问题。这些问题均因请求返回的响应状态码为200 OK导致。通过修改HttpServletResponse中的setStatus状态码为301,可以有效地解决这些问题。
摘要由CSDN通过智能技术生成

APPScan 扫描系统遇到如下问题,可通过修改HttpServletResponse中setStatus状态码不为200解决,此处我修改为301。

1、Oracle Application Server PL/SQL 未授权的 SQL 查询执行

如图1所示问题:

图1

本系统使用的是MySQL,所以不需要去修改关于Oracle 的配置,造成这个问题的主要原因是:系统使用 /api/admin/user/owa_util.listprint?p_theQuery=SELECT%20*%20FROM%20SYS.TAB&p_cname=&p_nsize= 时请求返回的响应状态码为 “200 ok”,如图二所示:

图2

解决办法:访问系统无关请求时,设置返回状态码 301。如图3所示: 

图3

这个只是根据自己项目不同,在Severlet中设置返回的状态码。

 

2、Oracle 日志文件信息泄露

如图5所示问题:

最低0.47元/天 解锁文章
Thought_1997
关注
专栏目录
修复AppScan漏洞扫描: Oracle application server pl/sql未授权的sql查询执行
站在编程最高端,行在设计最前沿
11-22 1万+
一、问题描述: 使用App Scan扫描本公司互联网软件产品,报如下漏洞: Oracle Application Server PL/SQL 未授权的 SQL 查询执行 方法 方法 从以下位置进行控制: POST 至: GET 主体 主体 从以下位置进行控制: ****************** 至: 标题 标题 已从请求除去: application/x-www-...
App scan 扫描安全漏洞解决方案
talen_hx的博客
08-10 1879
项目上要进行IBM的App scan安全漏洞扫描,要有Web应用程序报告,网上找了不少内容,集中项目中,常出现的有以下几类 发现压缩目录 直接在nginx上,添加配置 location ~* \.(php|zip|arj|lzma|wim|war|ear|ar)$ { deny all; } 限制不能传后缀为这些的 Oracle Application Server PL/SQL 未授权的 SQL 查询执行 查询执行 如果确定没用oracle,那应该是controlle...
Web 安全之文件下载漏洞详解
最新发布
cc123489ll的博客
06-24 412
引言文件下载漏洞原理文件下载漏洞的危害文件下载漏洞类型文件下载漏洞的利用方法文件下载漏洞示例文件下载漏洞的防护措施漏洞检测与测试小结。
Response already committed.
南臣子
05-13 4071
在生产环境中,系统日志非常高频度地出现下面的告警信息: [09-11-26 16:24:26:389 GMT+08:00] 00185db6 SRTServletRes W WARNING: Cannot set header. Response already committed. 这个是WAS抛出的警告,意思是http response已经提交(通过调用了response.flu...
AppScan
03-05 7527
1 安装 1.1 AppScan 安装 将 AppScan 安装保存在计算机中,双击它,然后根据提示操作。 1.2 注册文件安装 AppScan 安装中包括一个允许扫描指定站点的注册文件(见章节 1.4),但是不能扫 描其他站点。
Tomcat服务器response header 200 OK问题
weixin_37469575的博客
09-12 5827
记录一个刚踩的坑,因为公司用某的某厂商的设备,该设备发送http请求之后要求response header中 返回 HTTP/1.1 200 OK ,众所周知,status code 200表示连接成功 ,而OK 是reasonPhrase。 而我用的是tomcat 8.5/9.0版本,只有个HTTP/1.1 200 没有OK,然后厂商那边也是坑爹,有个200还不满足,字符串判断非要...
java后台如何将服务器返回的response的200状态码改成其他错误
馒头花卷儿
12-09 5956
摘要:这个题目看着挺荒唐的,200已经请求成功了怎么就给改成其他的失败呢?其实这里只是更好的能认识response而已,指不定哪天你能用到呢。 这个代码是我用来返回response用的,这里写一下设置response,主要是体现设置返回状态码 public class ReturnJson { public static void returnJson(HttpServle...
APPScan安全漏洞扫描
zengshaotao的专栏
04-16 7601
IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer over...
Security Appscan Standard 漏洞扫描及补漏洞
YouXu
03-03 4816
IBM Security Appscan 介绍 IBM Security AppScan 在应用程序开发的生命周期过程中提供安全测试, AppScan 扫描很多常规的漏洞,比如跨站脚本攻击(cross site cripting),HTTP 响应分割(HTTP response splitting),参数篡改(Parameter Tampering)等等。
AppScan开始使用.pdf
09-11
AppScan是一款功能强大的安全扫描工具,用于检测Web应用程序中的安全漏洞。安装AppScan非常简单,只需将其安装包保存在计算机上,双击运行安装程序,并按照提示完成安装过程即可。 **1.2 注册文件安装** 为了正常...
Oracle进程会话及SQL执行查询
11-05
查看运行过的SQL语句 查看某session的历史执行sql情况
AppScan的Web应用安全测试使用简明
08-18
很好用的文档,步骤+步骤图片
《IBM Security AppScan Standard 使用方法,本人实践》
热门推荐
【✎__三味書屋】的博客
11-15 3万+
欢迎大家访问!!^_^
Action 中 Response already committed 解决办法
发粪涂墙
02-18 6683
在一个roundtrip中response只能被发出一次,在一些验证码、文件下载中通过httpServletResponse.getOutputStream()和requestOutputStream.write()等方法已将response发出,再return ActionForward时被认为是再发送一次,因而报错。出现这种情况的时候,后面的return将只可以返回null,这可以由httpS
but ServerHttpResponse already committed错误处理
进击的小白
08-31 9100
现象 [587ce8c8] Error [reactor.netty.ReactorNetty$InternalNettyException: java.nio.channels.ClosedChannelException] for HTTP GET "/xxxx", but ServerHttpResponse already committed (200 OK) 原因 请求主动断开导致netty无法处理channel,报出异常,请求状态499,可以忽略。 处理方案 过滤该...
关于"response already committed" 的问题
fire314159
12-22 8159
最近遇到一个问题,觉得挺有意思。 现在正在将一个项目从web service 转到 EJB2 (是否觉得很奇怪?),转移过程中出现了一些问题。其中一个exception如下: java.lang.IllegalStateException:   response   already   committed 当时第一个反应是可能页面 forward跳转或者buffer size不够了。因为我们用的是...
AppScan安全漏洞报告
收集盒 Book box
01-06 1428
1.会话cookie 中缺少HttpOnly 属性。   修复任务: 向所有会话cookie 添加“HttpOnly”属性    解决方案,过滤器中,  Java代码   HttpServletResponse response2 = (HttpServletResponse)response;   //httponly是微软对cookie做的扩展,该值指定 Cook
appscan扫描修复记录(一)
猩猩林
06-25 857
1. 加密会话(SSL)Cookie 中缺少 Secure 属性(解决) 在nginx中设置cookie属性,在配置文件中server模块设置:add_header Set-Cookie “Secure”; 利用fiddler抓包,查看请求响应中cookie是否包含secure属性 2. 检车到rc4密码套件(解决) rc4是弱密码套件,可以在ngnix配置文件中禁用该弱密码套件 ngnix...
appscan漏洞扫描使用说明
07-14
AppScan是一款流行的漏洞扫描工具,用于识别和评估Web应用程序中的安全漏洞。以下是AppScan漏洞扫描的基本使用说明: 1. 安装和配置:下载并安装AppScan,然后按照提供的指南进行基本配置。确保您的系统满足最低要求并具有适当的许可证。 2. 创建项目:在AppScan中创建一个新项目,提供相关信息,如目标URL和认证凭据(如果需要)。您还可以选择其他配置选项,如扫描深度和扫描策略。 3. 配置扫描选项:根据您的需求选择适当的扫描选项。您可以选择执行全面扫描或仅针对特定漏洞类别执行扫描。 4. 启动扫描:点击"开始扫描"按钮启动扫描。AppScan将自动访问目标URL,并尝试发现潜在的漏洞。 5. 查看扫描结果:一旦扫描完成,您可以查看扫描结果报告。报告将列出检测到的漏洞及其严重性级别。您可以通过报告中提供的详细信息,了解每个漏洞的具体细节和修复建议。 6. 修复漏洞:基于AppScan的扫描结果,您应该尽快修复检测到的漏洞。根据漏洞的严重性级别,您可以优先处理高风险漏洞。 7. 定期扫描:漏洞扫描不是一次性任务,建议定期使用AppScan对Web应用程序进行扫描,以确保持续的安全性。 请注意,这只是AppScan的基本使用说明。根据您的具体需求和环境,您可能需要更多高级配置和操作。建议参考AppScan的官方文档和用户手册,以了解更多详细信息
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值