AppScan安全漏洞报告

最新推荐文章于 2023-06-08 16:38:25 发布
最新推荐文章于 2023-06-08 16:38:25 发布
阅读量314 收藏
点赞数
文章标签: html cookie httponly
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xing23777/article/details/84273401
版权
[b]1.会话cookie 中缺少HttpOnly 属性。[/b]
修复任务: 向所有会话cookie 添加“HttpOnly”属性
解决方案,过滤器中, 
HttpServletResponse response2 = (HttpServletResponse)response;
//httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问, 
//解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
response2.setHeader( "Set-Cookie", "name=value; HttpOnly");


[b]2.跨站点请求伪造。修复任务: 拒绝恶意请求。[/b]
解决方案,过滤器中 
//HTTP 头设置 Referer过滤
String referer = request2.getHeader("Referer");   //REFRESH
if(referer!=null && referer.indexOf(basePath)<0){			request2.getRequestDispatcher(request2.getRequestURI()).forward(request2, response);
}



[b]3.Autocomplete HTML Attribute Not Disabled for Password Field[/b]
修复任务: Correctly set the "autocomplete" attribute to "off" 
密  码:
<input name="userinfo.userPwd" type="password"  autocomplete = "off"/>


[b]4.HTML 注释敏感信息泄露。删除注释信息。[/b]

[b]5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。[/b]修复任务: 过滤掉用户输入中的危险字符 
private String filterDangerString(String value) {
		if (value == null) {
			return null;
		}
		value = value.replaceAll("\\|", "");

		value = value.replaceAll("&", "&");

		value = value.replaceAll(";", "");

		value = value.replaceAll("@", "");

		value = value.replaceAll("'", "");

		value = value.replaceAll("\"", "");

		value = value.replaceAll("\\'", "");

		value = value.replaceAll("\\\"", "");

		value = value.replaceAll("<", "<");

		value = value.replaceAll(">", ">");

		value = value.replaceAll("\\(", "");

		value = value.replaceAll("\\)", "");

		value = value.replaceAll("\\+", "");

		value = value.replaceAll("\r", "");

		value = value.replaceAll("\n", "");

		value = value.replaceAll("script", "");

		value = value.replaceAll("%27", "");
		value = value.replaceAll("%22", "");
		value = value.replaceAll("%3E", "");
		value = value.replaceAll("%3C", "");
		value = value.replaceAll("%3D", "");
		value = value.replaceAll("%2F", "");
		return value;
	}


摘自:[url]http://www.linuxso.com/architecture/38094.html[/url]
xing23777
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
appscan安全漏洞修复
12-21
IBM AppScan是一款广泛使用的静态代码分析工具,用于检测Web应用程序中的安全漏洞。本篇文章将详细探讨AppScan扫描出的五类常见安全漏洞,并提供相应的修复策略。 1. 不充分账户封锁:当系统对失败的登录尝试或恶意...
AppScan安全测试漏洞检测工具10.4版本
最新发布
12-25
**AppScan安全测试漏洞检测工具10.4版本详解** IBM AppScan是一款广泛使用的安全测试工具,主要用于检测Web应用程序中的安全漏洞。它以其强大的扫描功能和全面的安全评估能力,在IT行业中备受推崇。AppScan 10.4...
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
qq_51279057的博客
05-14 5538
一、安装 AppScan.10.0.0 获取方式百度网盘,亲测有效,里面也有安装教程。 链接:https://pan.baidu.com/s/1d7gUOEhidn1tfVIyHHaC7w 提取码:0903 #解压之后 #开始安装,记住安装的位置 #安装完之后记住,先不要打开HCL AppScan Standard,而是打开j解压第一步得到的文件夹,找到rcl_rational.dll文件,替换掉原先的文件。不知道在哪里的,直接搜这个文件,然后替换掉就行。 ![在这里插入图片描述](https:
APPScan扫描操作教程
weixin_43936628的博客
04-03 8505
APPScan扫描操作教程 一、AppScan的工作原理 对一个综合性的大型网站来说,可能存在成千上万的页面。以登录界面为例,至少要输入用户名和密码,即该页面存在两个字段,当提交了用户名和密码等登录信息,网站需要检查是否正确,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,可能成为被攻击对象。AppScan正是通过按照设定策略和规则,对Web应用进行安全攻击,以此来检查网...
安全测试--AppScan
sunshine_cxy的博客
06-08 1505
AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。简单理解,就是AppScan工具先抓取出所有的接口,接着利用自身的安全用例库,对接口传各种参数,验证接口是否有安全漏洞。1、打开AppScan,文件--新建--扫描Web应用程序2、填写起始URL地址这里有个坑:填写登录页面的地址,最好是未登录之前,因为有的页面没有做重定向处理,后续测试的时候会一直提示登录。
AppScan扫描报告
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-16 2167
AppScan扫描报告分析
AppScan测试报告
06-20
Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及...
安全扫描工具AppScan10
05-29
IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...
AppScan安全测试总结.docx
06-30
AppScan是IBM公司推出的一款强大的Web应用程序安全测试工具,它主要针对常见的Web应用安全漏洞进行黑盒测试。通过深入分析和扫描AppScan能够帮助企业识别并预防潜在的安全风险,确保Web应用的安全性。 首先,...
常见WEB安全漏洞及解决方案
07-27
本资料由IBM Rational Appscan提供。 整理了常见的web安全漏洞,同时IBM还提供了asp\java\Php多种安全解决方案。 本人精心整理出来,特此共享。
appscan尝鲜使用
hgg923的专栏
06-12 585
1、安装 环境win10 链接:https://pan.baidu.com/s/1Ym7SsDAxD5EKtyL29rQVhA 提取码:i6l5 借鉴文章: 百度经验使用 文章2 2、配置 ①配置url ②登陆管理(使用记录有问题,改使用提示) ③选择策略 3、配置完成后进行——扫描、测试 ...
AppScan安全漏洞说明及解决方案
天行健,君子以自强不息;地势坤,君子以厚德载物。
10-01 1425
阅读文本大概需要5分钟。0x01:会话cookie中缺少HttpOnly属性解决方案:向所有会话cookie 添加HttpOnly属性 ,可以在过滤器中统一添加。Http...
Appscan漏洞扫描使用
m0_46599601的博客
07-16 896
1、打开首页 下一步:常规扫描 下一步: 下一步: 下一步: 外部浏览器的设置:工具–>选项 下一步:如果谷歌浏览器是自己安装而不是下载的,可能会出现以下未安装情况,这时可选用火狐 下一步:先点击外部浏览器 下一步:浏览器打开后不需要做其他才做,回到appscan点击外部设备 下一步:把你想测试的接口手动点击,停止记录 下一步: 下一步:成功会变成绿色 下一步: 下一步: 下一步:上面可查看问题,下面出现四种风险等级的个数 最后:Appscan不了解的时候走了不少弯路,
手动修改user-agent
01-21 233
1. 在浏览器地址栏输入 about:config.弹出对话框: 2.点击“我保证会小心”,弹出下面的对话框,在搜索栏中输入general.useragent.override,查看是否有user-agent。 3. 如果没有general.useragent.override,则右键,新建字符串。否则右键修改该字符串的值。 4. 添加键general...
AppScan扫描建议
czscyb的专栏
04-22 1万+
1.1        AppScan扫描建议 若干问题的补救方法在于对用户输入进行清理。  通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。  建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(
使用Appscan进行安全测试
热门推荐
wus_shang的博客
02-08 1万+
简介Appscan是IBM出品的一个安全测试软件,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结...
IBM Security AppScan 报告:Web应用安全漏洞分析
报告详细分析了多种常见的安全漏洞,并给出了具体的处理方法。 1. **SQL盲注** (SQL Blind Injection): 这是一种攻击者通过探测系统反馈时间差异来确定SQL语句结构的注入手法。防范措施包括对用户输入进行严格...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值