webInspect SprinBoot2.x安全整改

最新推荐文章于 2024-06-27 08:16:14 发布
最新推荐文章于 2024-06-27 08:16:14 发布
阅读量4.5k 收藏
点赞数
分类专栏: java 文章标签: webInspect SpringBoot 安全扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011311291/article/details/103529824
版权

都是基于Springboot2.x整改

一.Insecure Transport: Weak SSL Cipher
Insecure Transport: Weak SSL Cipher(11285)
Insecure Transport: Weak SSL Protocol(11516)
Insecure Transport: Weak SSL Protocol(11395)

需要进行两步操作:
1.SSL弱秘钥,升级通信协议到TLSv1.2
在application.yaml配置
server.ssl.protocol: TLSv1.2
2.修改ssl使用的Cipher算法
ciphers: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_GCM_SHA256

二.Password Management: Weak Password Policy(11496)
使用强密码,至少8位,有大小写,字母数字,带有特殊符号,例如#,!

三.Cookie Security: Cookie not Sent Over SSL(4720)
cookie在传输的时候要使用ssl加密
有两种情况:
1.如果用户验证使用的是spring secure
则在application.yml中配置:
server.servlet.session.cookie.secure=true
2.如果用户验证使用的是shiro,则需要在shiro的ShiroConfig中配置:

//(1)先改JSESSIONID,cookie
public DefaultWebSessionManager sessionManager() {
sessionManager.setSessionIdCookie(sessionIdCookie());
}
private SimpleCookie sessionIdCookie() {
        SimpleCookie cookie = new SimpleCookie(""JSESSIONID"");
        cookie.setHttpOnly(true);
        cookie.setSecure(true);
        return cookie;
    }
//(2)再改remenbermeCookie:
public SecurityManager securityManager() {
securityManager.setRememberMeManager(rememberMeManager());
}
    @Bean
 public SimpleCookie rememberMeCookie() {
  // 这个参数是cookie的名称,对应前端的checkbox 的name = rememberMe
  SimpleCookie simpleCookie = new SimpleCookie(""rememberMe"");
 
  simpleCookie.setSecure(true);
  return simpleCookie;
 }
  
 @Bean(name = ""cookieRememberMeManager"")
  public CookieRememberMeManager rememberMeManager() {
  CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
  cookieRememberMeManager.setCookie(rememberMeCookie());
  return cookieRememberMeManager;
 }"

四.Web Server Misconfiguration: Unprotected Directory ( 4731 )
访问的URL目录中存在敏感字符,比如xx/script/xxx这种,容易给攻击提示信息,改成别的名称
五.Privacy Violation: Inconsistent Feedback ( 11418 )
意思是不能返回不同的信息,比如在验证用户登录的时候,不能提示“用户不存在”,“密码错误”等确切的错误,而是统一返回“用户名密码错误”,以免攻击通过提示信息进行测试,攻击
六.SSL证书
Often Misused: Weak SSL Certificate(11380)
Web Server Misconfiguration: SSL Certificate Hostname Discrepancy(4725)
使用正版CA授权证书
七.Cross-Site Request Forgery ( 10963 )
操作步骤如下:
"使用csrf过滤,在表单中添加token,操作步骤如下,这里使用的thymeleaf视图:
1.在表单中添加

<input th:id=""${_csrf.parameterName}"" th:name=""${_csrf.parameterName}"" th:value=""${_csrf.token}"" type=""hidden"">

2.在ajax提交的header添加

//先获取表单的值
var csrf_name = document.getElementById('csrf_token').getAttribute(""name"");
var csrf_value = document.getElementById('csrf_token').getAttribute(""value"");
//再在ajax提交的头部中添加
beforeSend: function (XMLHttpRequest) {
		         		XMLHttpRequest.setRequestHeader(csrf_name, csrf_value);
		            };

3.在springboot中配置上

@Configuration
@EnableWebSecurity
public class SecuityConfig extends WebSecurityConfigurerAdapter{

	@Override
	protected void configure(HttpSecurity http) throws Exception {
	        http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
	 }
}
姚贤贤
关注
专栏目录
Weak SSL Version、SSL Weak Cipher Suites Supported
zenglingmin8的博客
05-28 1992
漏洞扫描结果: Severity:Medium Vulnerability:Weak SSL Version (SSLv2, SSL v3, TLS v1.0 and TLS v1.1)、SSL Weak Cipher Suites Supported 这个漏洞的原因就是ssl版本太低。 检查了自己架构之后,发现问题出在nginx上,于是对nginx的ssl版本进行调整。针对不同版本的nginx的ssl配置,参考: https://ssl-config.mozilla.org/#server=nginx&a
hp webinspect10.rar
09-06
2. **测试阶段**:在系统测试阶段,可以使用WebInspect进行全面的安全测试,确保所有功能在安全方面都达到预期。 3. **合规性审计**:对于需要满足特定安全标准(如PCI DSS)的组织,WebInspect可以提供必要的证据...
fortify源代码扫描问题分析汇总
热门推荐
Websec
07-21 1万+
编号 漏洞名称 漏洞危害 修复建议 1 Dynamic Code Evaluation: Unsafe Deserialization 动态代码评估:不安全的反序列化 Actuator正是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在使用...
Springboot 安全漏洞 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
looloo的填坑日常
06-03 4156
Springboot 启动的项目 安全漏洞 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱 Springboot 启动的项目 安全漏洞 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱 背景 https 项目安全扫描时被告知安全漏洞 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱 解决办法 server.ssl.enabled-...
开发安全之:Insecure Transport- Weak SSL Protocol
最新发布
qq_53058639的博客
06-27 428
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
开发安全之:Insecure Transport: Weak SSL Protocol
irizhao的专栏
01-16 1261
传输层安全 (TLS) 协议和安全套接字层 (SSL) 协议提供了一种保护机制,可以确保在客户端和 Web 服务器之间所传输数据的真实性、保密性和完整性。每次新的修订都旨在解决以往版本中发现的安全漏洞。使用不安全版本的 TLS/SSL 会削弱数据保护力度,并可能允许攻击者危害、窃取或修改敏感信息。SSLv2、SSLv23、SSLv3、TLSv1.0 和 TLSv1.1 协议包含使它们变得不安全的缺陷,不应该使用它们来传输敏感数据。- 使用弱密码套件 这些属性的存在可能会允许攻击者截取、修改或篡改敏感数据。
java mission console_Java SE Mission Control Insecure Transport MITM
weixin_32236671的博客
03-02 227
[+]##################################################################################################[+] Credits / Discovery: John Page AKA hyp3rlinx[+] Website: hyp3rlinx.altervista.org[+] Source: h...
配置HTTPS协议
CSDN_JiangLiBin的博客
08-01 1323
什么是https? “ HTTP over SSL/TLS ”意思就是带“安全套接层”的 http 协议,也可以理解为“带安全套的 http ”,所以会比较安全! 其中 SSL 是“ Secure Sockets Layer ” 的缩写,是“安全套接层”的意思。 TLS 是 “Transport Layer Security” 的缩写,是 ” 传输层安全协议 ” 的意思。 SSL 和 TLS 是同...
WebInspect manual.zip_K4V_WebInspect_WebInspect manual_zip
09-23
HP WebInspect是一款强大的自动化安全扫描工具,专门用于检测Web应用程序的安全漏洞。这款工具能够帮助IT专业人员在开发和测试阶段发现潜在的网络安全风险,确保Web应用在上线前达到最佳的安全状态。WebInspect的...
WebInspect8.0.part2.rar
09-19
包含 WebInspect8.0、破解文件、WebInspect8.0所需的数据库。一站式下载! WebInspect8.0 web漏洞扫描工具! 由于上传限制在60M,所以分5次上传!
WebInspect8.0.part1.rar
09-19
包含 WebInspect8.0、破解文件、WebInspect8.0所需的数据库。一站式下载! WebInspect8.0 web漏洞扫描工具!
SSL 和windows及浏览器等兼容性报告
11-29
本报告就如何配置SSL/TLS以提供最先进的身份验证和加密技术提出了一般性建议。ssl引擎提供的选项是从 自从Netscape开发SSL2.0以来的早期。TLS的引入使问题变得更具有挑战性,因为服务器和客户端根据各个ssl引擎提供不同的可用选项。 (OpenSSL、NSS、SChannel等)他们用。事实证明,找到中间地带是很困难的,特别是因为支持的协议和密码套件大多没有文档化。
WebInspect8.0.part3.rar
09-19
包含 WebInspect8.0、破解文件、WebInspect8.0所需的数据库。一站式下载! WebInspect8.0 web漏洞扫描工具! 共5部分!
SSL安全套接字服务器和客户端代码示例
kjfcpua的专栏
12-03 1032
SSL,大家都知道,只要是想搞用证书来实现数据加密传输的,都离不开它,例如HTTPS也是类似的实现,我提供的这个代码就是2004年时候学习SSL时的练习代码,带有详细说明,有需要的可以试试,毕竟我也现在也用不到这个代码,放在那里是浪费。文件列表: 运行很简单,先运行4,然后运行5,再运行6,就OK了,可以看到安全服务器
SpringBoot配置属性之Server
weixin_34007291的博客
11-16 460
SpringBoot配置属性系列 SpringBoot配置属性之MVC SpringBoot配置属性之Server SpringBoot配置属性之DataSource SpringBoot配置属性之NOSQL SpringBoot配置属性之MQ SpringBoot配置属性之Security SpringBoot配置属性...
python 校验 google (insecure_transport) OAuth 2 MU 需要HTTPS解决
qq_42757053的博客
07-18 616
1.通过设置环境变量 export OAUTHLIB_INSECURE_TRANSPORT=1 2.与上述等效,您可以在Python中进行设置(如果设置环境变量时遇到问题) # Somewhere in webapp_example.py, before the app.run for example import os os.environ['OAUTHLIB_INSECURE_TRANSPORT'] = '1' 转载自:https://stackoverflow.com/questions
Webgoat 笔记总结 Insecure Communication/Configuration/Storage
weixin_34416754的博客
10-08 438
Insecure Communication 不安全通信 通过抓包的工具就可以把数据包拿到手上,那么回问题就很容易知道了。实验告诫我们明文传输的危险性,使用ssl 登录 SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS...
HP WebInspect:领先Web应用安全评估工具
"WebInspect Manual 是 HP 公司的一款强大的 Web 应用安全评估工具,提供了中文版的详细文档,旨在帮助用户检测和解决 web 应用中的安全问题。该软件利用先进的技术,如 SCA-Simultaneous Crawl and Audit,能够对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值