IBM AppScan 安全扫描报告中部分问题的解决办法

最新推荐文章于 2024-07-11 09:08:14 发布
最新推荐文章于 2024-07-11 09:08:14 发布
阅读量1.2w 收藏 11
点赞数 2
分类专栏: 软件系统安全 软件应用安全 文章标签: 应用安全 安全 服务器

IBM AppScan 安全扫描:加密会话(SSLCookie 中缺少 Secure 属性处理办法


原因分析:

服务器开启了Https时,cookie的Secure属性应设为true;

解决办法:

1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn

2.修改web.config,添加:

<system.web>
<httpCookieshttpOnlyCookies="true" requireSSL="true" />
<system.web>

See: http://msdn.microsoft.com/en-us/library/ms228262(v=vs.100).aspx

3.修改后台写Cookies时的设置 cookie.Secure = true

HttpResponse response= HttpContext.Current.Response;

var cookie = new HttpCookie(key, value);

cookie.HttpOnly = true;

cookie.Path = "/";

cookie.Expires = DateTime.Now.AddHours(1);

cookie.Secure = true;

response.AppendCookie(cookie);

 

参考网站:http://stackoverflow.com/questions/5978667/how-to-secure-the-asp-net-sessionid-cookie

 

 

IBM AppScan 安全扫描:支持弱 SSL 密码套件

解决方法:

1.Server 2008(R2)

根据appScan的修订建议访问地址:http://msdn.microsoft.com/en-us/library/windows/desktop/bb870930(v=vs.85).aspx

里面说了如何修改SSL 密码套件的优先级和状态,里面有一堆的加密方式,很难知道哪些该保留,哪些改去掉(其实AppScan里面已经有提示哪些该去掉);

 

经过一番资料查找,有一个名叫IIS Crypto的软件工具,专门用来解决上面的问题;

软件地址:https://www.nartac.com/Products/IISCrypto/Default.aspx

运行软件设置他推荐的加密方式,然后重启系统,再次扫描时,就不会报这个漏洞了。

 

参考资料:

1.http://msdn.microsoft.com/en-us/library/windows/desktop/bb870930(v=vs.85).aspx

2.http://security.stackexchange.com/questions/48325/identify-and-disable-weak-cipher-suites

3.https://www.nartac.com/Products/IISCrypto/Default.aspx

 

 

web安全之跨站请求伪造

CSRF

CSRFCross-site request forgery),中文名称:跨站请求伪造.
因为这个不是用户真正想发出的请求,这就是所谓的请求伪造;因为这些请求也是可以从第三方网站提交的,所以前缀跨站二字。

CSRF发生的场景如下图所示:

用户登录访问了一个受信任的站点,
在用户还没有退出登录的时候,打开另外一个tab页,访问了网站B
B网站中,有CSRF攻击代码访问网站A
发生的原因是,网站是通过cookie来识别用户的,当用户成功进行身份验证之后浏览器就会得到一个
标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站会带上这个cookie
1.登录受信任网站A,并在本地生成Cookie
2.在不登出A的情况下,访问危险网站B
你也许会说:如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击
是的,确实如此,但你不能保证以下情况不会发生:
1.你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站。
2.你不能保证你关闭浏览器了后,你本地的Cookie立刻过期,你上次的会话已经结束。
(事实上,关闭浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于
退出登录/结束会话了)如记住密码功能等。
3.上图中所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站。
下面来看一个代码实例,在网站A发布了下面的代码
用户login,然后可以在input.jsp提交数据,提交的数据被dataupdate.jsp更新到后台。
dataupdate.jsp会检查用户是否登录,如果没有登录会跳到login.jsp要求用户登录。

[html]viewplaincopyprint?

1.  login.jsp

2.  <body>

3.  <formaction="input.jsp"method="post">

4.  name<inputtype="text"name="name"size="50"><br>

5.  pwd<inputtype="password"name="password"size="50"><br>

6.  <inputtype="submit"value="submit">

7.  </form>

8.  <br>

9.  </body>

10. </html>

11.  

12. input.jsp

13. <body>

14. <%

15. //Sessionsession = request.getSession();

16. String username =(String)session.getValue("username");

17. System.out.println("username" + username);

18. if(null==username){

19. String uname = request.getParameter("name");

20. session.putValue("username",uname);

21. }

22.  

23. %>

24. <formaction="dataupdate.jsp"method="post">

25. <inputtype="text"name="comment"size="50"><br>

26. <inputtype="submit"value="submit">

27. </form>

28. <br>

29. </body>

30.  

31. dataupdate.jsp

32. <body>

33. <%

34. String username =(String)session.getValue("username");

35. System.out.println("username" + username);

36. if(null==username){

37. System.out.println("hasnot logged in");

38. response.sendRedirect("login.jsp");

39. }else{

40. String comment = request.getParameter("comment");

41.  

42. System.out.println("adda comment: " + comment);

43.  

44. out.write("commentis : " + comment);

45. }

46. %>

47. </body>

48. </html>

login.jsp
<body>
<form action="input.jsp" method="post">
name<input type="text" name="name" size="50"><br>
pwd<input type="password" name="password" size="50"><br>
<input type="submit" value="submit">
</form>
<br>
</body>
</html>
 
input.jsp
<body>
<%
  //Session session = request.getSession();
  String username = (String)session.getValue("username");
  System.out.println("username " + username);
  if(null==username){
    String uname = request.getParameter("name");
    session.putValue("username", uname);
  }
 
%>
<form action="dataupdate.jsp" method="post">
<input type="text" name="comment" size="50"><br>
<input type="submit" value="submit">
</form>
<br>
</body>
 
dataupdate.jsp
<body>
<%
  String username = (String)session.getValue("username");
  System.out.println("username " + username);
  if(null==username){
    System.out.println("has not logged in");
    response.sendRedirect("login.jsp");
  }else{
    String comment = request.getParameter("comment");
    
    System.out.println("add a comment: " + comment);
     
    out.write("comment is : " + comment);
  }
%>
</body>
</html>

表面上看起来好像没有问题。
假设我们有另外一个网站B,它有一个网页文件如下
如果在用户登录访问网站A的同时访问了网站B,访问者在网站A的数据就会被假冒更新。
可以在后台看到有如下的输出:add a comment: fromcsrf

[html]viewplaincopyprint?

1.  <body>

2.  use a imgelement to send a get request <br>

3.  <imgsrc="http://www.a.com/prjWebSec/csrf/dataupdate.jsp?comment=fromcsrf">

4.  </body>

5.  </html>

<body>
use a img element to send a get request <br>
<img src="http://www.a.com/prjWebSec/csrf/dataupdate.jsp?comment=fromcsrf">
</body>
</html>

这里网站A违反了HTTP规范,使用GET请求更新资源。那是不是用post请求就不会发生CSRF?
结果是同样会发生。可以通过构造javascript构造form提交,如下面的代码

[html]viewplaincopyprint?

1.  <body>

2.  </body>

3.  <scripttype="text/javascript">

4.   

5.  var frm= document.getElementById("viframe");

6.  functionsendcsrf()

7.  {

8.  var form1 = document.createElement("form");

9.  form1.id = "form1";

10. form1.name = "form1";

11. document.body.appendChild(form1);

12.  

13. var input = document.createElement("input");

14. input.type = "text";

15. input.name = "comment";

16. input.value = "fromcsrf post";

17.  

18. form1.appendChild(input);

19. form1.method = "POST";

20. form1.action = "http://www.a.com/prjWebSec/csrf/dataupdate.jsp";

21. form1.submit();

22. document.body.removeChild(form1);

23. }

24. sendcsrf();

25. </script>

26. </html>

<body >
</body>
  <script type="text/javascript">
 
    var frm= document.getElementById("viframe");
    function sendcsrf()  
    {  
        var form1 = document.createElement("form");  
        form1.id = "form1";  
        form1.name = "form1";  
        document.body.appendChild(form1);  
    
        var input = document.createElement("input");  
        input.type = "text";  
        input.name = "comment";  
        input.value = "from csrf post";  
    
        form1.appendChild(input);  
        form1.method = "POST";  
        form1.action = "http://www.a.com/prjWebSec/csrf/dataupdate.jsp";  
        form1.submit();  
        document.body.removeChild(form1);  
    } 
    sendcsrf();
    </script>
</html>

防止方法:
1,利用referer判断,
但是用户有可能设置浏览器使其在发送请求时不提供 Referer,这样的用户也将不能访问网站。
2,在请求中添加 token 并验证
关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中,
可以在服务器端生成一个随机码,然后放在formhidden元素中,form提交的时候在服务器端检查。

 

会话标识未更新:登录页面加入以下代码

Java代码

  1. request.getSession(true).invalidate();//清空session
  2. Cookie cookie = request.getCookies()[0];//获取cookie
  3. cookie.setMaxAge(0);//让cookie过期 
    request.getSession(true).invalidate();//清空session
    Cookie cookie = request.getCookies()[0];//获取cookie
    cookie.setMaxAge(0);//让cookie过期


不是很明白session的机制,高手路过可以指教一下。
2.跨站点请求伪造:
在出错的url加参数sessionid。

Java代码

  1. response.getWriter().write( "<script>parent.location.href='dbase/admin/loginJsp.action?sessionId="+sessionId+"'</script>"); 
response.getWriter().write(  "<script>parent.location.href='dbase/admin/loginJsp.action?sessionId="+sessionId+"'</script>");


如果带参数报ssl错误,使用下面的post方式传值:

Java代码

  1. response.getWriter().write(
  2. "<script language=\"javascript\"> " +
  3. "document.write(\"<form action=dbase/admin/loginJsp.action method=post name=formx1 style='display:none'>\");" +
  4. "document.write(\"<input type=hidden name=name value='"+sessionId+"'\");" +
  5. "document.write(\"</form>\");" +
  6. "document.formx1.submit();" +
  7. "</script>"
  8. ); 
response.getWriter().write(
      "<script language=\"javascript\"> " +
      "document.write(\"<form action=dbase/admin/loginJsp.action method=post name=formx1 style='display:none'>\");" +
      "document.write(\"<input type=hidden name=name value='"+sessionId+"'\");" +
      "document.write(\"</form>\");" +
      "document.formx1.submit();" +
      "</script>"
      );


3.启用不安全HTTP方法

Java代码

  1. 修改web工程中或者服务器web.xml,增加安全配置信息,禁用不必要HTTP方法
  2. <security-constraint>
  3. <web-resource-collection>
  4. <url-pattern>/*</url-pattern>
  5. <http-method>PUT</http-method>
  6. <http-method>DELETE</http-method>
  7. <http-method>HEAD</http-method>
  8. <http-method>OPTIONS</http-method>
  9. <http-method>TRACE</http-method>
  10. </web-resource-collection>
  11. <auth-constraint>
  12. </auth-constraint>
  13. </security-constraint>
  14. <login-config>
  15. <auth-method>BASIC</auth-method>
  16. </login-config> 
修改web工程中或者服务器web.xml,增加安全配置信息,禁用不必要HTTP方法
  <security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
      <http-method>DELETE</http-method>  
      <http-method>HEAD</http-method>  
      <http-method>OPTIONS</http-method>  
      <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
 </security-constraint>  
 <login-config>  
   <auth-method>BASIC</auth-method>  
 </login-config>


4.已解密登录请求
配置SSL,具体见http://serisboy.iteye.com/admin/blogs/1320231
在web.xml加入如下配置。

Java代码

  1. <security-constraint>
  2. <web-resource-collection >
  3. <web-resource-name >SSL</web-resource-name>
  4. <url-pattern>/*</url-pattern>
  5. </web-resource-collection>
  6. <user-data-constraint>
  7. <transport-guarantee>CONFIDENTIAL</transportguarantee>
  8. </user-data-constraint>
  9. </security-constraint> 
<security-constraint>  
       <web-resource-collection >  
              <web-resource-name >SSL</web-resource-name>  
              <url-pattern>/*</url-pattern>  
       </web-resource-collection> 
       <user-data-constraint>  
              <transport-guarantee>CONFIDENTIAL</transportguarantee>  
       </user-data-constraint>  
</security-constraint>


5.高速缓存的ssl页面

Java代码

  1. 页面
  2. <meta http-equiv="Pragma" contect="no-cache"> 
页面
<meta http-equiv="Pragma" contect="no-cache">

 

Java代码

  1. java代码
  2. response.setHeader("Pragma", "No-cache"); 
java代码
response.setHeader("Pragma", "No-cache");


6.目录列表
配置文件目标拒绝访问。
在conf/web.xml下:

Java代码

  1. <servlet>
  2. <servlet-name> default </servlet-name>
  3. <servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class>
  4. <init-param>
  5. <param-name> debug </param-name>
  6. <param-value> 0 </param-value>
  7. </init-param>
  8. <init-param>
  9. <param-name> listings </param-name>
  10. <param-value> false </param-value>
  11. </init-param>
  12. <load-on-startup> 1 </load-on-startup>
  13. </servlet> 
<servlet> 
<servlet-name> default </servlet-name> 
<servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class> 
<init-param> 
<param-name> debug </param-name> 
<param-value> 0 </param-value> 
</init-param> 
<init-param> 
<param-name> listings </param-name> 
<param-value> false </param-value> 
</init-param> 
<load-on-startup> 1 </load-on-startup> 
</servlet>


把listings对应的value设置为fasle.
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml 中,把
servlet-name改为其它的,再加一下servlet-mapping

Java代码

  1. <servlet>
  2. <servlet-name> default1 </servlet-name>
  3. <servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class>
  4. <init-param>
  5. <param-name> debug </param-name>
  6. <param-value> 0 </param-value>
  7. </init-param>
  8. <init-param>
  9. <param-name> listings </param-name>
  10. <param-value> false </param-value>
  11. </init-param>
  12. <load-on-startup> 1 </load-on-startup>
  13. </servlet>
  14. <servlet-mapping>
  15. <servlet-name> default1 </servlet-name>
  16. <url-pattern> / </url-pattern>
  17. <servlet-mapping> 
跬行万里
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
加密会话(SSL)Cookie缺少Secure属性解决方案
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话(SSL)Cookie缺少Secure属性”问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
IBM Security 扫描解决方案整理
ACGkaka的博客
01-19 883
目录1.SQL盲注2.已解密的登录请求解决方案(应用于Shiro):后端:1 引入RSA MAVEN 坐标2 新增/rsa/public接口,用于前端获取加密公钥3 开放/rsa/public接口的访问权限4 登陆时加密发送过来的请求参数进行解密前端:1 下载并引入jsencrypt.min.js2 在login.js增加如下代码:3.不充分的账户封锁4.会话标识未更新5.登录错误消息凭证枚举6...
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全
Programming
06-05 1万+
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-testAppscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试,今天我们说下扫描结果包含Content-Security-Policy请求头header的缺失或不安全的时候,我们该如何应对。首先,它的严重性低。AppScan 检测到 Conten
Web漏洞扫描工具AppScan、AWVS测评及使用体验(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
07-11 509
AppScan有业界最强悍的规则库,AppScan的规则库内置了超过1.2万个测试用例,测试用例最全,所以AppScan扫描问题更多,扫描时长也较久;AWVS扫描SQL 注入和跨站脚本的能力较专,误报相对较低,扫描时长较短。建议企业在日常测试流程使用AWVS,在针对重点或高风险版本使用AppScan进行查漏补缺。更多对比=======
安全问题】加密会话(SSL)Cookie 缺少 Secure 属性
热门推荐
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
基于Appscan扫描漏洞修复方案
weixin_46659330的博客
07-20 4273
基于Appscan扫描发现的漏洞,以及风险分析,解决方案
IBM Security AppScan安装包
06-26
总之,IBM Security AppScan是一款功能强大的应用安全测试工具,可以通过自动化测试和高级漏洞扫描技术,帮助开发人员和测试人员识别和修复Web应用程序安全漏洞,提高Web应用程序的安全性。
安全扫描工具AppScan10
05-29
IBMAppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞。AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...
IBM Appscan9.0.3安全扫描简单安装、使用以及高危漏洞修复-附件资源
03-05
IBM Appscan9.0.3安全扫描简单安装、使用以及高危漏洞修复-附件资源
安全扫描工具HCL AppScan最新版本10.0.7
06-01
安全扫描工具HCL AppScan最新版本10.0.7】是一款强大的Web应用程序安全测试解决方案,由全球知名科技公司HCL Technologies开发。这个版本带来了最新的功能和改进,旨在为用户提供更高效、全面的安全评估体验。...
web安全扫描问题疑问 AppScan
03-18
标题的“web安全扫描问题疑问 AppScan”表明讨论的主题聚焦在Web应用安全性上,特别是使用了IBM应用安全扫描工具AppScanAppScan是一款广泛使用的工具,用于检测Web应用程序的安全漏洞,如SQL注入、跨站脚本...
IBM AppScan v9.0.3.12+安全规则17339下载、安装和使用
weixin_54787369的博客
07-13 4319
1.首先下载,云盘下载地址:链接:https://pan.baidu.com/s/1h9S5yVNz7wiyHMYLZYlFCA 提取码:i6fa 2.下载完成将压缩包解压至方便自己查找的位置 3.直接点击IBM Rational AppScan Standard v9.0.3.12.exe安装,此处一定要记住自己的安装目录,因为后面会用到 4.安装成功后把rcl_rational.dll复制到AppScan安装目录下,覆盖原来的rcl_rational.dll 5.再将LicenseProvider
IBM AppScan 安全扫描:加密会话(SSL)Cookie 缺少 Secure 属性 处理办法 ...
weixin_30344795的博客
06-28 805
问题描述: 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加:...
AppScan风险——IBM WebSphere ‘WASPostParam‘ Cookie 反序列拒绝服务
weixin_45956230的博客
10-22 3487
AppScan风险——IBM WebSphere ‘WASPostParam’ Cookie 反序列拒绝服务 解决方案: 1、查看是否安装类似安全狗的安防软件 2、修改nginx配置 #cookie_WASPostParam参数置空 ## if和( 之间一定要有空格,否则会报nginx: [emerg] unknown directive 'if($cookie_WASPostParam != "")' if ($cookie_WASPostParam != ""){ set $cookie_W
IBM AppScan最简单的操作流程
weixin_34279579的博客
08-07 134
2019独角兽企业重金招聘Python工程师标准>>> ...
漏洞扫描AppScan 识别了不是通过 SSL 发送的密码参数
spt_dream的博客
12-08 6667
1、AppScan简介 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描AppScan source edition,到针对 Web 应用进行快速扫描AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Wind
appscan打开外部浏览器报无法访问此网站
m0_37570494的博客
03-18 714
再这个界面需要增加appscan的证书,如果是下面状态证明证书已经添加了,如果未加证书系统会提示添加证书:
appscan漏洞--目录列表
隐0士的博客
06-20 3822
直接访问http://xxx.xx.xxx.xx/images/后可以看到列表: 响应包含目录的内容(目录列表)。这表示服务器允许列示目录(通常不推荐此做法) 修改服务器配置以拒绝目录列表,修改httpServer的配置:/opt/IBM/HTTPServer/conf 的httpd.conf,看到 # # Possible values for the Options
AppScan漏洞“已解密的登陆请求”修复解决方案
weixin_30367873的博客
03-29 700
  最近在修复系统漏洞时,使用新版AppScan扫描IIS站点(WebForm)出现一个严重漏洞“已解密的登陆请求”。   扫描工具修复的建议为在登陆界面不使用含“password”类型的控件或加密录入参数。 按其所给的建议,我做了如下修改:将password控件修改为textbox控件。使用js替换输入的内容。并将录入的结果录入到隐藏控件提交时去隐藏控件的值。   修改后部署更新站点重新扫...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值