php安全扫描修改,php用appScan扫描后出现的全局验证安全有关问题应该如何解决...

最新推荐文章于 2022-12-20 19:25:45 发布
最新推荐文章于 2022-12-20 19:25:45 发布
阅读量171 收藏
点赞数
文章标签: php安全扫描修改

php用appScan扫描后出现的全局验证安全问题应该怎么解决?

GET edit_info.php?username=18511333333&gender="&birthday=1996-03-02 HTTP/1.1

Accept: application/x-ms-application, image/jpeg, application/xaml+xml, image/gif, image/pjpeg, application/x-ms-xbap, */*

Accept-Language: zh-CN

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0)

Connection: Keep-Alive

Host: cqc.xunsmart.com

HTTP/1.1 200 OK

Connection: close

Date: Sat, 30 May 2015 16:44:31 GMT

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

X-Powered-By: PHP/5.2.17

Content-type: text/html

{"status":"ok","msg":"\u4fee\u6539\u6210\u529f!","data":[{"uid":"256","username":"18511333333","password":"25f9e794323b453885f5181f1b624d0b","myname":"gan

------解决思路----------------------

看起来好像是请求这个地址返回了一些关于用户的关键信息(甚至包括密码)

------解决思路----------------------

不要轻信所谓专家危言耸听的结论,要对自己有信心

不要随意的在 url 中附加本不该公开的信息,尽可能的使用 post 或 put 方式传递数据

Klaith
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php-security-scanner:适用于PHP的静态安全扫描程序
05-19
静态分析器安全扫描程序(适用于PHP) 这将检测将不安全变量传递给不安全函数参数的情况。 用法: bin/php-security-scanner scan path/to/files 它将搜索所有文件中的安全问题。 例子 给出以下代码: <?php function bar () { foo ( $ _GET [ 'name' ]); } function foo ( $ name ) { mysql_query ( "SELECT * FROM foo WHERE name = '$name'" ); } ?> 在该文件上运行扫描程序将错误消息标识为4,并显示以下消息: 在对foo()参数编号1的调用中找到了可能SQL注入 支持的漏洞扫描程序: 当前,仅在有限的情况下,仅支持mysql_query 。
appscan9.0.3.13+安全规则18533.rar
12-13
扫描完成后,AppScan将生成一份详细的报告,列出所有发现的潜在安全问题,包括每个问题的严重性、影响、可能的攻击向量以及推荐的修复措施。对于规则18533,修复建议通常包括验证重定向的目标地址,确保只有预期的、...
帮助安全研究人员评估PHP项目安全性的漏洞扫描安全报告工具,Versionscan
TENCENTSYS的博客
07-20 318
Versionscan是一款可以帮助安全研究人员评估PHP项目安全性的漏洞扫描安全报告工具,它可以检测已知的CVE漏洞,并报告目标站点的潜在安全问题。 目前该工具仍在适配不同的Linux发行版。 工具安装 使用Composer { "require": { "psecio/versionscan":"dev-master" } } 该工具当前的依...
6个PHP安全扫描工具
jackyrongvip的专栏
06-17 423
摘自;http://www.hotscripts.com/blog/6-free-php-security-auditing-tools/
web安全 扫描工具 Appscan .zip
05-27
一款强大的 web安全 扫描工具,可以对网站等 Web 应用 进行自动化的 应用安全扫描和 测试。
appscan9.0.3.14+安全规则20737.rar.rar亲测可用
12-26
5. 解决方案实施:根据扫描报告,开发团队需要根据AppScan提供的建议,对代码进行修改以消除这些安全风险。这可能包括增加输入验证、修复SQL查询语句、过滤输出内容等。 6. 持续监控:安全是持续的过程,定期使用...
安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196
10-15
优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。
安全扫描工具 AppScan9.0.3.7 破解版
08-07
1、下载文件,安装AppScan_Std_9.0.3.7_Eval_Win .exe 2、安装完成以后安装9.0.3.7_iFix003-Update更新包 3、安装完更新包,将破解补丁LicenseProvider.dll和AppScanSDK.dll复制到安装路径下替换源文件
WEB开发安全漏洞修复方案
01-03
1.1 背景 1 1.2 FSDP安全漏洞清单 1 1.3 安全漏洞修复方案 1 1.3.1 会话标识未更新 1 1.3.2 登录错误消息凭证枚举 2 1.3.3 不充分帐户封锁 2 1.3.4 跨站点脚本编制 3 1.3.5 已解密的登录请求 6 1.3.6 跨站点脚本编制 9 1.3.7 通过框架钓鱼 13 1.3.8 链接注入(便于跨站请求伪造) 18 1.3.9 应用程序错误 25 1.3.10 SQL注入 29 1.3.11 发现数据库错误模式 38 1.3.12 启用了不安全的HTTP方法 48 1.3.13 发现电子邮件地址模式 50 1.3.14 HTML注释敏感信息泄露 51 1.3.15 发现内部IP泄露模式 52 1.3.16 主机允许从任何域进行flash访问 53 1.3.17 主机应用软件漏洞修复 53 1.3.18 目录列表 54 1.3.19 跨站点请求伪造 55 1.1 需要注意的问题 56
Web漏洞扫描-Appscan安装配置及扫描
最新发布
m0_55854679的博客
12-20 3499
AppScan 是一种 Web 应用程序安全扫描工具,可帮助组织识别和修复其 Web 应用程序中的漏洞。它结合使用自动和手动测试技术来识别漏洞,例如跨站点脚本 (XSS)、SQL 注入和不安全的文件上传等。AppScan 可用于在开发生命周期的不同阶段扫描 Web 应用程序,包括设计、开发和测试阶段。它还可用于对生产 Web 应用程序执行持续的漏洞评估。该工具提供详细的报告,突出显示发现的漏洞,并提供如何修复这些漏洞的建议。
Python 编码处理之 str与Unicode的区别与使用(四)
xiaoyaozi2020的博客
10-20 320
转自:http://www.weidianyuedu.com/content/0213448763500.html 建议 规范编码 统一编码,防止由于某个环节产生的乱码 环境编码,IDE/文本编辑器, 文件编码,数据库数据表编码 保证代码源文件编码 这个很重要 py文件默认编码是ASCII, 在源代码文件中,如果用到非ASCII字符,需要在文件头部进行编码声明 文档 不声明的话,输入非ASCII会遇到的错误,必须放在文件第一行或第二行 File “XXX.py”, line 3 SyntaxError: N
常见中文的unicode编码的字符串
热门推荐
u013619657的专栏
01-31 7万+
String base = "\u7684\u4e00\u4e86\u662f\u6211\u4e0d\u5728\u4eba\u4eec\u6709\u6765\u4ed6\u8fd9\u4e0a\u7740\u4e2a\u5730\u5230\u5927\u91cc\u8bf4\u5c31\u53bb\u5b50\u5f97\u4e5f\u548c\u90a3\u8981\u4e0b\u770
PYTHON编码处理-str与Unicode的区别
weixin_30737433的博客
11-11 184
一篇关于str和Unicode的好文章整理下python编码相关的内容注意: 以下讨论为Python2.x版本, Py3k的待尝试开始用python处理中文时,读取文件或消息,http参数等等一运行,发现乱码(字符串处理,读写文件,print)然后,大多数人的做法是,调用encode/decode进行调试,并没有明确思考为何出现乱码所以调试时最常出现的错误错误1Traceback (...
AppScan安全扫描问题解决方案
weixin_43988600的博客
02-23 6917
本人遇见过的扫描漏洞解决方案。 一、查询中的密码参数 【解决方案】 password是关键字,把passwod的传参名称改为pcode或其他名称。 风险: 可能会窃取查询字符串中发送的敏感数据,例如用户名和密码 原因: SSL(安全套接字层)可为 HTTP 提供数据机密性和完整性。通过加密 HTTP 消息,SSL 可防止攻击者窃听或更改消息内容。登 录页应始终采用 SSL 来保护从客户机传输到服务器的用户名和密码。如果不使用 SSL,会使用户凭证在传输到服务器期间作为 明文公开,从而易被窃听。 固定值:.
web安全扫描问题疑问 AppScan
战斗机
06-18 498
首先简单描述一下系统情况:采用的技术struts1.2,EJB3.0,另外公司以前封装了一套jsp标签;应用服务器jboss4.0.2;数据库为SQL Server2005。 目前我还有2类问题还没有解决—1:会话标识未更新 2:发现数据库错误模式 希望有解决过此...
IBM Rational AppScan:软件安全与网站漏洞扫描
IBM Rational AppScan是一款强大的Web应用安全检测工具,它在Web应用的开发、测试、维护和运营全过程中发挥作用,能有效发现并解决安全问题AppScan侧重于黑盒检测,即通过对应用程序运行结果的分析来查找漏洞,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值