webInspect SprinBoot2.x安全整改

最新推荐文章于 2021-11-15 19:10:14 发布
最新推荐文章于 2021-11-15 19:10:14 发布
阅读量4.4k 收藏
点赞数
分类专栏: java 文章标签: webInspect SpringBoot 安全扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011311291/article/details/103529824
版权

都是基于Springboot2.x整改

一.Insecure Transport: Weak SSL Cipher
Insecure Transport: Weak SSL Cipher(11285)
Insecure Transport: Weak SSL Protocol(11516)
Insecure Transport: Weak SSL Protocol(11395)

需要进行两步操作:
1.SSL弱秘钥,升级通信协议到TLSv1.2
在application.yaml配置
server.ssl.protocol: TLSv1.2
2.修改ssl使用的Cipher算法
ciphers: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_GCM_SHA256

二.Password Management: Weak Password Policy(11496)
使用强密码,至少8位,有大小写,字母数字,带有特殊符号,例如#,!

三.Cookie Security: Cookie not Sent Over SSL(4720)
cookie在传输的时候要使用ssl加密
有两种情况:
1.如果用户验证使用的是spring secure
则在application.yml中配置:
server.servlet.session.cookie.secure=true
2.如果用户验证使用的是shiro,则需要在shiro的ShiroConfig中配置:

//(1)先改JSESSIONID,cookie
public DefaultWebSessionManager sessionManager() {
sessionManager.setSessionIdCookie(sessionIdCookie());
}
private SimpleCookie sessionIdCookie() {
        SimpleCookie cookie = new SimpleCookie(""JSESSIONID"");
        cookie.setHttpOnly(true);
        cookie.setSecure(true);
        return cookie;
    }
//(2)再改remenbermeCookie:
public SecurityManager securityManager() {
securityManager.setRememberMeManager(rememberMeManager());
}
    @Bean
 public SimpleCookie rememberMeCookie() {
  // 这个参数是cookie的名称,对应前端的checkbox 的name = rememberMe
  SimpleCookie simpleCookie = new SimpleCookie(""rememberMe"");
 
  simpleCookie.setSecure(true);
  return simpleCookie;
 }
  
 @Bean(name = ""cookieRememberMeManager"")
  public CookieRememberMeManager rememberMeManager() {
  CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
  cookieRememberMeManager.setCookie(rememberMeCookie());
  return cookieRememberMeManager;
 }"

四.Web Server Misconfiguration: Unprotected Directory ( 4731 )
访问的URL目录中存在敏感字符,比如xx/script/xxx这种,容易给攻击提示信息,改成别的名称
五.Privacy Violation: Inconsistent Feedback ( 11418 )
意思是不能返回不同的信息,比如在验证用户登录的时候,不能提示“用户不存在”,“密码错误”等确切的错误,而是统一返回“用户名密码错误”,以免攻击通过提示信息进行测试,攻击
六.SSL证书
Often Misused: Weak SSL Certificate(11380)
Web Server Misconfiguration: SSL Certificate Hostname Discrepancy(4725)
使用正版CA授权证书
七.Cross-Site Request Forgery ( 10963 )
操作步骤如下:
"使用csrf过滤,在表单中添加token,操作步骤如下,这里使用的thymeleaf视图:
1.在表单中添加

<input th:id=""${_csrf.parameterName}"" th:name=""${_csrf.parameterName}"" th:value=""${_csrf.token}"" type=""hidden"">

2.在ajax提交的header添加

//先获取表单的值
var csrf_name = document.getElementById('csrf_token').getAttribute(""name"");
var csrf_value = document.getElementById('csrf_token').getAttribute(""value"");
//再在ajax提交的头部中添加
beforeSend: function (XMLHttpRequest) {
		         		XMLHttpRequest.setRequestHeader(csrf_name, csrf_value);
		            };

3.在springboot中配置上

@Configuration
@EnableWebSecurity
public class SecuityConfig extends WebSecurityConfigurerAdapter{

	@Override
	protected void configure(HttpSecurity http) throws Exception {
	        http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
	 }
}
姚贤贤
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Weak SSL Version、SSL Weak Cipher Suites Supported
zenglingmin8的博客
05-28 1928
漏洞扫描结果: Severity:Medium Vulnerability:Weak SSL Version (SSLv2, SSL v3, TLS v1.0 and TLS v1.1)、SSL Weak Cipher Suites Supported 这个漏洞的原因就是ssl版本太低。 检查了自己架构之后,发现问题出在nginx上,于是对nginx的ssl版本进行调整。针对不同版本的nginx的ssl配置,参考: https://ssl-config.mozilla.org/#server=nginx&a
开发安全之:Insecure Transport: Weak SSL Protocol
最新发布
irizhao的专栏
01-16 1157
传输层安全 (TLS) 协议和安全套接字层 (SSL) 协议提供了一种保护机制,可以确保在客户端和 Web 服务器之间所传输数据的真实性、保密性和完整性。每次新的修订都旨在解决以往版本中发现的安全漏洞。使用不安全版本的 TLS/SSL 会削弱数据保护力度,并可能允许攻击者危害、窃取或修改敏感信息。SSLv2、SSLv23、SSLv3、TLSv1.0 和 TLSv1.1 协议包含使它们变得不安全的缺陷,不应该使用它们来传输敏感数据。- 使用弱密码套件 这些属性的存在可能会允许攻击者截取、修改或篡改敏感数据。
java mission console_Java SE Mission Control Insecure Transport MITM
weixin_32236671的博客
03-02 219
[+]##################################################################################################[+] Credits / Discovery: John Page AKA hyp3rlinx[+] Website: hyp3rlinx.altervista.org[+] Source: h...
配置HTTPS协议
CSDN_JiangLiBin的博客
08-01 1255
什么是https? “ HTTP over SSL/TLS ”意思就是带“安全套接层”的 http 协议,也可以理解为“带安全套的 http ”,所以会比较安全! 其中 SSL 是“ Secure Sockets Layer ” 的缩写,是“安全套接层”的意思。 TLS 是 “Transport Layer Security” 的缩写,是 ” 传输层安全协议 ” 的意思。 SSL 和 TLS 是同...
SSL安全套接字服务器和客户端代码示例
kjfcpua的专栏
12-03 1026
SSL,大家都知道,只要是想搞用证书来实现数据加密传输的,都离不开它,例如HTTPS也是类似的实现,我提供的这个代码就是2004年时候学习SSL时的练习代码,带有详细说明,有需要的可以试试,毕竟我也现在也用不到这个代码,放在那里是浪费。文件列表: 运行很简单,先运行4,然后运行5,再运行6,就OK了,可以看到安全服务器
SpringBoot配置属性之Server
weixin_34007291的博客
11-16 451
SpringBoot配置属性系列 SpringBoot配置属性之MVC SpringBoot配置属性之Server SpringBoot配置属性之DataSource SpringBoot配置属性之NOSQL SpringBoot配置属性之MQ SpringBoot配置属性之Security SpringBoot配置属性...
hp webinspect10.rar
09-06
2. **测试阶段**:在系统测试阶段,可以使用WebInspect进行全面的安全测试,确保所有功能在安全方面都达到预期。 3. **合规性审计**:对于需要满足特定安全标准(如PCI DSS)的组织,WebInspect可以提供必要的证据...
WebInspect8.0.part2.rar
09-19
包含 WebInspect8.0、破解文件、WebInspect8.0所需的数据库。一站式下载! WebInspect8.0 web漏洞扫描工具! 由于上传限制在60M,所以分5次上传!
WebInspect manual.zip_K4V_WebInspect_WebInspect manual_zip
09-23
HP WebInspect是一款强大的自动化安全扫描工具,专门用于检测Web应用程序的安全漏洞。这款工具能够帮助IT专业人员在开发和测试阶段发现潜在的网络安全风险,确保Web应用在上线前达到最佳的安全状态。WebInspect的...
WebInspect8.0.part1.rar
09-19
包含 WebInspect8.0、破解文件、WebInspect8.0所需的数据库。一站式下载! WebInspect8.0 web漏洞扫描工具!
SSL 和windows及浏览器等兼容性报告
11-29
本报告就如何配置SSL/TLS以提供最先进的身份验证和加密技术提出了一般性建议。ssl引擎提供的选项是从 自从Netscape开发SSL2.0以来的早期。TLS的引入使问题变得更具有挑战性,因为服务器和客户端根据各个ssl引擎提供不同的可用选项。 (OpenSSL、NSS、SChannel等)他们用。事实证明,找到中间地带是很困难的,特别是因为支持的协议和密码套件大多没有文档化。
WebInspect.9.10
02-23
网站病毒检测,WebInspect.9.10
python 校验 google (insecure_transport) OAuth 2 MU 需要HTTPS解决
qq_42757053的博客
07-18 599
1.通过设置环境变量 export OAUTHLIB_INSECURE_TRANSPORT=1 2.与上述等效,您可以在Python中进行设置(如果设置环境变量时遇到问题) # Somewhere in webapp_example.py, before the app.run for example import os os.environ['OAUTHLIB_INSECURE_TRANSPORT'] = '1' 转载自:https://stackoverflow.com/questions
Webgoat 笔记总结 Insecure Communication/Configuration/Storage
weixin_34416754的博客
10-08 433
Insecure Communication 不安全通信 通过抓包的工具就可以把数据包拿到手上,那么回问题就很容易知道了。实验告诫我们明文传输的危险性,使用ssl 登录 SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS...
cipher加密套件(openssl
bytxl的专栏
09-07 1万+
一个加密套件指明了SSL握手阶段和通信阶段所应该采用的各种算法。这些算法包括:认证算法、密钥交换算法、对称算法和摘要算法等。 在握手初始化的时候,双方都会导入各自所认可的多种加密套件。在握手阶段,由服务端选择其中的一种加密套件。 OpenSSL的ciphers命令可以列出所有的加密套件。openssl的加密套件在s3_lib.c 的 ssl3_ciphers数组中定义。比如有:
ssl_protocols和ssl_ciphers应该怎么配置
diaoju3333的博客
12-19 6485
http://wiki.nginx.org/HttpSslModule#ssl_ciphers 推荐配置: A)在Apache的SSL配置中禁用SSLv3和SSLv3SSLProtocol all -SSLv2 -SSLv3SSLCipherSuite HIGH:!aNULL:!MD5:!EXPORT56:!EXPB)在Nginx只允许使用TLS协...
SSL协议详解
wangyuxiang946的博客
11-15 1万+
Secure Sockets Layer SSL协议概述SSL解决的问题(功能)协议的使用SSL在协议栈的位置SSL协议的分层模型SSL体系结构SSL的两个重要概念主要工作流程SSL握手协议的握手过程SSL记录层的功能SSL协议脆弱性分析 SSL协...
使用LocalDateTime解析带有微秒,纳秒时间格式yyyy-MM-dd'T'HH:mm:ss.SSSSSSZ
热门推荐
u011311291的博客
02-28 2万+
1.使用SimpleDateFormat解析带有微秒,纳秒格式的时间会出现多几分钟的现象,因为SimpleDateFormat只能解析到毫秒,会将微秒等当做毫秒来解析 2.使用LocalDateTime来正确解析,JDK1.8后加入 package javaTEST; import java.math.BigDecimal; import java.text.SimpleDateFormat; ...
webinspect下载
10-23
WebInspect是一款由HPE Fortify推出的应用安全测试工具。通过对网站进行扫描和评估,WebInspect可以发现潜在的应用漏洞和安全风险,帮助开发人员和安全专家提前识别并解决这些问题,确保网站的安全性和可靠性。 要下载WebInspect,首先需要访问HPE Fortify的官方网站。在网站上找到WebInspect的下载页面,并选择合适的版本和操作系统,比如Windows或者Linux。点击下载按钮,待下载完成后,打开安装包,并按照提示完成安装过程。 安装完成后,打开WebInspect应用程序。首次运行时会提示用户设置WebInspect的一些基本配置,如语言设置、代理设置等。根据个人需求进行相应设置,然后点击保存并应用。 接下来,点击开始扫描,输入要测试的目标网址,并选择扫描类型。WebInspect提供了多种扫描模式,如全面扫描、漏洞验证、配置审核等。根据需要选择合适的模式,然后点击开始扫描WebInspect将开始对目标网站进行扫描,检测潜在的漏洞和安全问题。扫描过程可能需要一些时间,具体时间根据目标网站的大小和复杂程度而定。扫描完成后,WebInspect会生成一份报告,其中详细列出了发现的漏洞和问题,并提供了相应的修复建议。 使用WebInspect测试Web应用程序的安全性,能够帮助开发人员和安全专家发现并修复潜在的安全问题,确保网站的安全性。因此,下载、安装并使用WebInspect是保障网站安全的重要步骤之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值