AppScan安全漏洞报告

最新推荐文章于 2024-05-04 12:24:09 发布
最新推荐文章于 2024-05-04 12:24:09 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: web
AppScan安全漏洞报告


1.会话cookie 中缺少HttpOnly 属性。 
修复任务: 向所有会话cookie 添加“HttpOnly”属性
  解决方案,过滤器中,
Java代码  收藏代码


    HttpServletResponse response2 = (HttpServletResponse)response;  
    //httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问,   
    //解决用户的cookie可能被盗用的问题,减少跨站脚本攻击  
    response2.setHeader( "Set-Cookie", "name=value; HttpOnly");   






2.跨站点请求伪造。修复任务: 拒绝恶意请求。 
解决方案,过滤器中
Java代码  收藏代码


    //HTTP 头设置 Referer过滤  
    String referer = request2.getHeader("Referer");   //REFRESH  
    if(referer!=null && referer.indexOf(basePath)<0){            request2.getRequestDispatcher(request2.getRequestURI()).forward(request2, response);  
    }  








3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"
Html代码  收藏代码


    密&nbsp;&nbsp;码:  
    <input name="userinfo.userPwd" type="password"  autocomplete = "off"/>  






4.HTML 注释敏感信息泄露。删除注释信息。


5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。修复任务: 过滤掉用户输入中的危险字符
Java代码  收藏代码


    private String filterDangerString(String value) {  
            if (value == null) {  
                return null;  
            }  
            value = value.replaceAll("\\|", "");  
      
            value = value.replaceAll("&", "&amp;");  
      
            value = value.replaceAll(";", "");  
      
            value = value.replaceAll("@", "");  
      
            value = value.replaceAll("'", "");  
      
            value = value.replaceAll("\"", "");  
      
            value = value.replaceAll("\\'", "");  
      
            value = value.replaceAll("\\\"", "");  
      
            value = value.replaceAll("<", "&lt;");  
      
            value = value.replaceAll(">", "&gt;");  
      
            value = value.replaceAll("\\(", "");  
      
            value = value.replaceAll("\\)", "");  
      
            value = value.replaceAll("\\+", "");  
      
            value = value.replaceAll("\r", "");  
      
            value = value.replaceAll("\n", "");  
      
            value = value.replaceAll("script", "");  
              
            value = value.replaceAll("%27", "");  
            value = value.replaceAll("%22", "");  
            value = value.replaceAll("%3E", "");  
            value = value.replaceAll("%3C", "");  
            value = value.replaceAll("%3D", "");  
            value = value.replaceAll("%2F", "");  
            return value;  
        }  
whbo111
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AppScan测试报告
06-20
AppScan的安装教程和测试报告:IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。
appscan安全漏洞修复
12-21
针对appscan安全漏洞扫描出的漏洞的一些解放方法。 1.不充分账户封锁 2.会话标识未更新 3.跨站点请求伪造 4.启用了不安全的http方法 5.已解密的登录请求
漏洞扫描神器:AppScan 保姆级教程(附破解步骤)
最新发布
Flag少侠的博客
05-04 3775
AppScan是IBM的一款应用程序安全测试工具,旨在帮助组织发现和修复应用程序中的安全漏洞。它提供了全面的功能和工具,用于自动化应用程序安全测试、漏洞扫描和漏洞管理。以下是AppScan的一些主要特点和功能:1. 自动化漏洞扫描:AppScan可以自动扫描Web应用程序和移动应用程序,发现其中的安全漏洞。它支持多种扫描技术和策略,包括黑盒扫描和白盒扫描,帮助用户全面评估应用程序的安全性。
AppScan扫描报告
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-16 2194
AppScan扫描报告分析
AppScan(2):导出AppScan测试报告
綦枫Maple的博客
04-08 2334
上一篇:安全扫描工具AppScan的基本使用
appscan发生内部错误_安全报告连载 | 2020年网络威胁之内部威胁
weixin_32228727的博客
01-15 149
内容摘要内部威胁是可能导致安全事件的行为,由与潜在受害者有联系或在其中工作的某人或一群人执行。内部存在多种与威胁相关的模式。当外部人与内部行为者合作以获取未经批准的资产使用权时,就会发生一种众所周知的内部人威胁模式(也称为“滥用特权”)。内部人员可能由于粗心或缺乏知识而无意中造成伤害。由于这些内部人员经常享有信任和特权,以及对组织的组织策略,流程和过程的了解,因此很难区分对应用程序,数据...
AppScan安全测试漏洞检测工具10.4版本
12-25
**AppScan安全测试漏洞检测工具10.4版本详解** IBM AppScan是一款广泛使用的安全测试工具,主要用于检测Web应用程序中的安全漏洞。它以其强大的扫描功能和全面的安全评估能力,在IT行业中备受推崇。AppScan 10.4...
安全扫描工具AppScan10
05-29
IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...
AppScan安全测试总结.docx
06-30
AppScan是IBM公司推出的一款强大的Web应用程序安全测试工具,它主要针对常见的Web应用安全漏洞进行黑盒测试。通过深入分析和扫描,AppScan能够帮助企业识别并预防潜在的安全风险,确保Web应用的安全性。 首先,...
appScan常见高危漏洞,走过的坑啊
weixin_43881309的博客
12-06 9637
appScan常见高危漏洞,走过的坑啊 一、SQL 盲注(SQL注入) 1、 过滤特殊字符 2、使用预编译,不要拼接sql 3、对sql执行部分异常进行捕获,不要抛出不同的异常,以免被推测有漏洞 4、可能appscan误报 误报解决: (1)、把错误的页面单独反复测试 (2)、把AppScan扫描的线程数改成1(默认10) 二、存储的跨站点脚本编制(xss漏洞) 1、对存储的内容进行xss过滤。 ...
安全科普:漏洞扫描那些事
Amdy_amdy的博客
11-21 5368
今天查找安全类产品,偶尔发现freebuf上有一篇不错的漏扫文章,可以解决日常生活中客户的许多问题,特此转载,方便查阅。 接触过Nessus、appscan、wvs、wvss漏洞扫描器,在这么多的扫描器中,Nessus可以算是最优秀的,绿盟的wvss是嵌入了多版wvs的内容并进行了一定的改良,但是有些漏洞仍然无法找到,例如:某些跨站,有些漏洞的查找,只是根据特定版本号来查找,即使已经打上补丁,依...
APPScan扫描操作教程
weixin_43936628的博客
04-03 8559
APPScan扫描操作教程 一、AppScan的工作原理 对一个综合性的大型网站来说,可能存在成千上万的页面。以登录界面为例,至少要输入用户名和密码,即该页面存在两个字段,当提交了用户名和密码等登录信息,网站需要检查是否正确,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,可能成为被攻击对象。AppScan正是通过按照设定策略和规则,对Web应用进行安全攻击,以此来检查网...
App scan 扫描安全漏洞解决方案
talen_hx的博客
08-10 1833
项目上要进行IBM的App scan安全漏洞扫描,要有Web应用程序报告,网上找了不少内容,集中项目中,常出现的有以下几类 发现压缩目录 直接在nginx上,添加配置 location ~* \.(php|zip|arj|lzma|wim|war|ear|ar)$ { deny all; } 限制不能传后缀为这些的 Oracle Application Server PL/SQL 未授权的 SQL 查询执行 查询执行 如果确定没用oracle,那应该是controlle...
IBM AppScan 安全扫描报告中部分问题的解决办法
行万里
04-09 1万+
IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性处理办法 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加:
AppScan--报告类型
weixin_30498921的博客
12-20 603
AppScan 报告类型: 转载于:https://www.cnblogs.com/nzyjlr/archive/2010/12/20/1911495.html
appscan漏洞--目录列表
隐0士的博客
06-20 3819
直接访问http://xxx.xx.xxx.xx/images/后可以看到列表: 响应包含目录的内容(目录列表)。这表示服务器允许列示目录(通常不推荐此做法) 修改服务器配置以拒绝目录列表,修改httpServer的配置:/opt/IBM/HTTPServer/conf 的httpd.conf,看到 # # Possible values for the Options
appScan安全扫描常见问题解决
qq_30684681的博客
11-17 1万+
1、  已解密的登录请求 解决方法:确保所有登录请求都以https加密方式发送到服务器。 2、不充分帐户封锁 解决方法: 1、登录的时候密码输入次数过多时锁住用户XX时间能不能登录,增加锁的功能。 2、加入图形验证码解决暴力攻击。 3、在降级的旧加密上填充 Oracle(也称为 POODLE) 在tomcat的server.xml中添加
AppScan 扫出隐藏文件,隐藏文件可能是项目目录下面的脚本,liunx命令
weixin_34345560的博客
11-10 1333
在项目目录里面查看有哪些隐藏文件,ls -a查看哪些隐藏文件是liunx命令,或者是一些敏感信息;让隐藏文件显示,然后删除掉; 转载于:https://blog.51cto.com/xuliangjun/1711288...
Appscan工具的使用
热门推荐
分享只为更好的获得
08-01 2万+
一,appscan扫描 1,白盒扫描=静态扫描,扫描源代码。 2,动态扫描=黑盒扫描,用工具来模拟黑客的攻击,查看应用层的响应。产品内部会有大量受攻击的库,当我们把一个模拟攻击发给我们的应用的时候,然后用工具来分析响应。 二,AppScan Web应用扫描流程 三,自动网络探索能力优势 四,设置配置向导 测试网址:http://demo.testfire.net/bank/lo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值