IBM Rational AppScan安全报告

最新推荐文章于 2020-06-30 03:53:58 发布
最新推荐文章于 2020-06-30 03:53:58 发布
阅读量179 收藏
点赞数
文章标签: WEB安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012388656/article/details/84263676
版权
1.会话cookie 中缺少HttpOnly 属性。
修复任务: 向所有会话cookie 添加“HttpOnly”属性
解决方案,过滤器中, 
		HttpServletResponse response2 = (HttpServletResponse)response;
		//httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问, 
		//解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
		response2.setHeader( "Set-Cookie", "name=value; HttpOnly");


2.跨站点请求伪造。修复任务: 拒绝恶意请求。
解决方案,过滤器中 
		//HTTP 头设置 Referer过滤
		String referer = request2.getHeader("Referer");   //REFRESH
		if(referer!=null && referer.indexOf(basePath)<0){						
			request2.getRequestDispatcher(request2.getRequestURI()).forward(request2, response);
		}


3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off" 
	密  码:
					<input name="userinfo.userPwd" type="password"  autocomplete = "off"/>


4.HTML 注释敏感信息泄露。删除注释信息。
5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。修复任务: 过滤掉用户输入中的危险字符 
	private String filterDangerString(String value) {
		if (value == null) {
			return null;
		}
		value = value.replaceAll("\\|", "");

		value = value.replaceAll("&", "&");

		value = value.replaceAll(";", "");

		value = value.replaceAll("@", "");

		value = value.replaceAll("'", "");

		value = value.replaceAll("\"", "");

		value = value.replaceAll("\\'", "");

		value = value.replaceAll("\\\"", "");

		value = value.replaceAll("<", "<");

		value = value.replaceAll(">", ">");

		value = value.replaceAll("\\(", "");

		value = value.replaceAll("\\)", "");

		value = value.replaceAll("\\+", "");

		value = value.replaceAll("\r", "");

		value = value.replaceAll("\n", "");

		value = value.replaceAll("script", "");

		value = value.replaceAll("%27", "");
		value = value.replaceAll("%22", "");
		value = value.replaceAll("%3E", "");
		value = value.replaceAll("%3C", "");
		value = value.replaceAll("%3D", "");
		value = value.replaceAll("%2F", "");
		return value;

	}
yysmid2
关注
AppScan测试报告
06-20
AppScan的安装教程和测试报告IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。
AppScan安全测试总结.docx
06-30
AppScanIBM公司出的一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。 其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。 AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。
IBM Security AppScan Standard 监测报告整改
atongmu2017的博客
09-06 1051
1.会话标识未更新  解决方案:在登录页面加入以下代码   //解决安全性问题,会话未更新 request.getSession().invalidate();//清空session Cookie[] cookies = request.getCookies();//获取cookie if(null != cookies &amp;&amp;co...
安全测试 IBM APPSCAN 01
无为而治
06-23 794
安全测试是什么? 除普通测试,渗透测试外,在软件系统基本完成即将发布阶段,为了发现系统安全问题并为相关问题提出相应解决方案的一种测试,使系统不被非法入侵,不受各种因素干扰。 安全测试和普通测试,渗透测试有什么不同? 普通测试,以发现系统存在的BUG为目标,以用户无心的非法输入和操作为前提,只针对系统功能; 渗透测试,以验证系统是否存在可能被入侵等安全问题为目的,以攻击者的角度为前提,有针对
IBM Rational AppScan保存报告时提示错误的解决方案
小太阳~
02-16 1万+
前提: 在使用AppScan扫描安全问题后,想要将报告保存,报告总共100多页,环境是win7,AppScan的版本是8.0。出现的问题: 在点击保存报告的时候,并没有任何错误信息,但是在执行的过程中,会提示“由于出现意外错误,无法创建报告”之类的错误,然后报告无法保存成功。解决方案: 保存为PDF格式的时候,当报告页面比较多的时候,就会出现这个错误,只需要将格式保存为html即可保存成功。
安全测试工具IBM Rational AppScan的使用教程
热门推荐
小太阳~
02-16 2万+
AppScanIBM公司开发的一款安全扫描软件,本篇博文来简单介绍如何使用这个工具来创建一个测试项目。一、打开AppScan软件,点击工具栏上的 文件–> 新建,出现一个dialog,如图所示: 二、点击 “Regular Scan”,出现扫描配置向导页面,这里是选择“Web应用程序扫描“,如图: 三、点击”下一步“,出现URL和服务器的配置页面,如图,输入需要测试的URL。 四、点击”下
IBM Rational Appscan Part 1(IBM Rational Appscan第1部分)
Zachary
04-14 881
IBM Rational Appscanweb应用程序渗透测试领域中使用最广泛的工具之一。它是一个桌面应用程序,帮助安全专业人员自动处理漏洞评估过程。本文重点介绍如何使用Appscan配置和启动扫描。分析扫描结果将在我翻译的下一篇文章中讨论。 在Appscan主要特点: Rational Appscan 8.5标准版有许多新特性,其中大部分我在下面简要概述: 白盒测试:白盒扫描是在App...
IBM Rational AppScan 网站安全检测
03-21
**IBM Rational AppScan 网站安全检测** IBM Rational AppScan 是一款强大的静态代码分析工具,主要用于检测Web应用程序的安全漏洞。这款工具广泛应用于软件开发生命周期(SDLC)中,帮助开发者在编码阶段就能发现...
IBM Rational AppScan介绍
02-10
IBM Rational AppScan是一款强大的自动化Web应用程序安全测试工具,由IBM公司开发并推出。它主要用于检测Web应用中存在的各种安全漏洞,包括跨站脚本攻击(XSS)、SQL注入、网络钓鱼以及权限管理等方面的问题。...
IBM Rational AppScan 安全检测指南
IBM AppScan 是一款由IBM Rational开发的企业级应用程序安全扫描工具,它帮助企业确保其Web应用程序的安全性,防止各种网络安全威胁。本教程将详细介绍如何利用IBM AppScan进行应用安全建设。 安全背景: 网络安全...
Rational AppScan Enterprise Edition 7.8.rar
11-27
Rational AppScan Enterprise Edition 7.8是一款由IBM推出的强大且全面的Web应用程序安全扫描工具,旨在帮助企业在开发过程中发现并修复潜在的安全漏洞。这款软件是Rational AppScan系列的旗舰版本,集成了高级的...
IBM Rational AppScan安全测试教程
"IBM Rational AppScan是一个用于进行安全测试的工具,主要针对Web应用和Web服务。本资源是一个关于AppScan使用的培训PPT,涵盖了典型的工作流程和安全测试实例。" 在安全测试领域,IBM Rational AppScan是一款强大...
IBM Security AppScan Standard:扫描和分析结果
cusi77914的博客
06-30 1035
IBM®SecurityAppScan®Standard通过扫描应用程序,识别漏洞并生成带有智能修订建议的报告来自动执行应用程序安全测试,以简化补救措施。 它在整个开发过程中提供静态和动态的应用程序安全性测试。 在本文中,观看视频演示以了解如何配置IBM Security AppScan来对新应用程序进行动态扫描,然后使用五步过程来分析扫描结果。 您还可以跟随一个案例研究,该案例演示使用A...
IBM AppScan 安全扫描报告中部分问题的解决办法
行万里
04-09 1万+
IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性处理办法 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加:
AppScan
建伟博客
08-08 2170
AppScan
3 GH7用(RH8字体大小显示不正常) 模型内套图框.gh
最新发布
10-18
3 GH7用(RH8字体大小显示不正常) 模型内套图框.gh
PHP-030网盘系统资源文档共享网站毕业课程源码设计+论文资料
10-18
编号:330 随着计算机网络普及到我们的生活中,越来越多的人已经认识并切身感受到,单凭在学校图书馆自身的信息资源储量很难最大限度地满足广大学生读者的信息需求,随着21世纪网络技术的发展与应用,很多的网站进行资源的共享以及对接,实现资源共建共享提供了必要的技术条件,并且形成资源共享网站,并吸引更多的用户使用网站,同时进行资源的上传,是资源得到进一步的扩充,从而一个良性的循环使得可利用的资源越来越多。 本文采用PHP技术开发了基于Web的教育资源共享系统,并且对该系统的技术方案的选择、系统功能的设计和实现等进行了介绍。在这个系统中,采用的是php动态网页设计技术和mysql数据库,可以灵活的管理和发布各种资料信息。本系统共分6大功能模块:教育资源查询、用户的上传下载功能、教育资源添加、上传资源的分类管理以及其他管理。 1.会员的注册、添加、密码的修改; 2.会员的上传资料,下载资料,信息投诉,评论功能; 3.游客身份查询资料; 4.管理员添加信息资源、发布公告功能; 5.管理员对会员上传资料的审核功能; 6.管理员对资料的分类项目的管理和添加、修改功能;
记录一些与大型模型相关的知识和方法.zip
10-18
记录一些与大型模型相关的知识和方法
Kivy-2.0.0-cp38-cp38-win_amd64.whl
10-18
Kivy-2.0.0-cp38-cp38-win_amd64.whl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值