IBM AppScan 各种测试问题修改方案

最新推荐文章于 2024-05-03 20:17:48 发布
最新推荐文章于 2024-05-03 20:17:48 发布
阅读量9.1k 收藏 14
点赞数 2
分类专栏: java开发 http,网络安全 文章标签: java 安全检测

1. SQL注入文件写入(需要用户验证)


解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。


建议过滤出所有以下字符:

[1] |(竖线符号)
[2] &(&符号)
[3];(分号)
[4] $(美元符号)
[5] %(百分比符号)
[6] @(at 符号)
[7] '(单引号)
[8] "(引号)
[9] \'(反斜杠转义单引号)
[10] \"(反斜杠转义引号)
[11] <>(尖括号)
[12] ()(括号)
[13] +(加号)
[14] CR(回车符,ASCII 0x0d)
[15] LF(换行,ASCII 0x0a)
[16] ,(逗号)
[17] \(反斜杠)

注意Rational AppScan Standard一旦开启,将始终会报告此问题。所以此问题是需要用户验证。具体可参考http://www-01.ibm.com/support/docview.wss?uid=swg21472385


2. 会话未更新


解决办法:在登录页面加入以下代码

//解决安全性问题,会话未更新
request.getSession().invalidate();//清空session
Cookie[] cookies = request.getCookies();//获取cookie
if(null != cookies &&cookies.length> 0){
for(Cookie cookie : cookies){
cookie.setMaxAge(0);//让cookie过期
}
}

3. 跨站点请求伪造


解决办法:在过滤器中增加对请求响应信息来源进行判断过滤;

//解决安全性问题:跨站点请求伪造
   String referer = req.getHeader("Referer");   //REFRESH  
   String serverName = request.getServerName();
if(null != referer&&referer.indexOf(serverName) < 0){            
req.getRequestDispatcher(req.getRequestURI()).forward(req, response);  
   }


4. 跨站点脚本编制


解决办法:通过建立过滤器方法,增加对请求响应信息来源进行判断过滤及对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。具体实现可参考结合1.SQL注入文件写入 与3.跨站点请求伪造 的解决方法;


5. 已解密的登录请求


解决办法:

1.对用户所输入的密码在页面进行MD5加密并反馈至密码输入框。

2. 手动生成SSL安全访问证书;在此不做介绍,相关方法可通过网上查找;

3. 将产品HTTP访问方式改为SSL安全访问方式;在Apache-Tomcat应用服务器的conf文件夹下的server.xml增加以下代码:

<!--设置SSL(Https)安全访问方式;访问端口为:8443 ->
<Connectorport="8443"minSpareThreads="5"maxSpareThreads="75"
enableLookups="true"disableUploadTimeout="true"
acceptCount="100"maxThreads="200"
scheme="https" secure="true"SSLEnabled="true"
ciphers="SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
keystoreFile="keystore/server.keystore"keystorePass="123456"
clientAuth="false"sslProtocol="TLS"/>

(注:keystore/server.keystore为证书存储路径;123456为证书密码;)

4. 在产品WEB.XML文件中加上以下代码:

<!--解决安全性问题:已解密登录请求;将改为SSL安全访问方式 -->
<security-constraint>
<web-resource-collection>
<web-resource-name>SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>


6. 启用了不安全的 HTTP 方法


解决办法:修改web工程中或者服务器web.xml,增加安全配置信息,禁用不必要HTTP方法

<!--解决安全性问题:启用不安全HTTP方法 -->
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>


7. 会话 cookie 中缺少HttpOnly属性


解决办法:在过滤器中增加对请求响应信息头的设定

//解决用户的cookie可能被盗用的问题,减少跨站脚本攻击

resp.setHeader("Set-Cookie", "name="+newSimpleDateFormat("yyyy-MM-ddHH:mm:ss").format(new Date())+"; Secure; HttpOnly");  


8. 发现 Web 应用程序源代码泄露模式


解决办法:针对代码注释中出现的部分源代码进行清除;


9. 自动填写未对密码字段禁用的 HTML 属性


解决办法:在密码输入框中增加autocomplete="off" 属性


10. 发现内部 IP 泄露模式


解决办法:针对代码中出现的IP地址进行清除;


11. 检测到应用程序测试脚本


解决办法:针对代码中出现的测试脚本文件进行清除;脚本文件主要包括以test.php、test.asp、test.cgi、test.html 等;并对一些包含相关的敏感字符文件名称进行修改;敏感字符包括:test、old等;


12. Unix 文件参数变更


解决办法:通过建立过滤器方法,增加对所有用户输入信息中是否包含“..”(两个点)字符串进行清理过滤。具体实现可参考结合1.SQL注入文件写入的解决方法;


13. Windows 文件参数变更


解决办法:通过建立过滤器方法,增加对所有用户输入信息中是否包含“..”(两个点)字符串进行清理过滤。具体实现可参考结合1.SQL注入文件写入的解决方法;


14. 链接注入(便于跨站请求伪造)


解决办法:通过建立过滤器方法,增加对请求响应信息来源进行判断过滤及对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。具体实现可参考结合1.SQL注入文件写入 与3.跨站点请求伪造 的解决方法;


15. 通过框架钓鱼


解决办法:通过建立过滤器方法,增加对请求响应信息来源进行判断过滤及对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。具体实现可参考结合1.SQL注入文件写入 与3.跨站点请求伪造 的解决方法;


16. 不充分帐户封锁


解决办法:对用户登录错误次数进行限制,并在一定的时间内不请允许再登录;


17. 检测到文件替代版本


解决办法:针对产品中所有开头为“Copy of”、“_”、“.”、“~”和“Old”的文件进行清理;


18. 发现电子邮件地址模式


解决办法:针对代码中出现的电子邮件地址进行清除;


19. HTML 注释敏感信息泄露


解决办法:针对代码注释中出现的敏感信息进行清除;敏感信息包括:注释的源代码、电子邮件、IP地址等;


20、查询中接受的主体参数
测试类型:应用程序级别测试
威胁分类:信息泄露
原因:Web 应用程序编程或配置不安全
安全性风险:可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置
可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
技术描述:GET 请求设计的目的在于查询服务器,而 POST 请求用于提交数据。但是,除了技术目的之外,攻击查询参数比攻击主体参数更容易,因为向原始站点发送链接或在博客或注释中发布链接更容易,而且得到的结果比另一种方法更好,为了攻击带有主体参数的请求,攻击者需要创建其中包含表单的页面,当受害者访问表单时就会提交表单。说服受害者访问他不了解的页面比让受害者访问原始站点要难很多。因此,不建议支持可到达查询字符串的主体参数。


21、临时文件下载
测试类型:基础结构测试
威胁分类:可预测资源位置
原因:在生产环境中留下临时文件
安全性风险:可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息
技术描述:Web 服务器通常会使“公共网关接口(CGI)”文件扩展名(如 .pl)与 Perl 之类的某个处理程序相关联。 当 URL 路径结尾是 .pl 时,路径所指定的文件名会发送给 Perl 执行;文件内容不会返回给浏览器。 然而,当在适当的位置编辑脚本文件时,编辑器可以用新的文件扩展名来保存所编辑的脚本的备份副本,例如:.bak、.sav、.old、~ 等等。Web 服务器通常没有这些文件扩展名的特定处理程序。 如果攻击者请求这类文件,文件内容会直接发送到浏览器。
从虚拟目录下除去这些临时文件很重要,因为它们可能含有调试目的所用的敏感信息,也可能显露有并非当前逻辑,但仍可能受到利用的应用程序逻辑攻击。


22、应用程序错误
测试类型:应用程序级别测试
威胁分类:信息泄露
原因:未对入局参数值执行适当的边界检查
未执行验证以确保用户输入与预期的数据类型匹配
安全性风险:可能会收集敏感的调试信息
技术描述:如果攻击者通过伪造包含非应用程序预期的参数或参数值的请求,来探测应用程序(如以下示例所示),那么应用程序可能会进入易受攻击的未定义状态。 攻击者可以从应用程序对该请求的响应中获取有用的信息,且可利用该信息,以找出应用程序的弱点。
例如,如果参数字段是单引号括起来的字符串(如在 ASP 脚本或 SQL 查询中),那么注入的单引号将会提前终止字符串流,从而更改脚本的正常流程/语法。
错误消息中泄露重要信息的另一个原因,是脚本编制引擎、Web 服务器或数据库配置错误。
以下是一些不同的变体:
[1] 除去参数
[2] 除去参数值
[3] 将参数值设置为空值
[4] 将参数值设置为数字溢出(+/- 99999999)
[5] 将参数值设置为危险字符,如 ' " \' \" ) ;
[6] 将某字符串附加到数字参数值
[7] 在参数名称后追加“.”(点)或“[]”(尖括号)

23、整数溢出
测试类型:应用程序级别测试
威胁分类:整数溢出
原因:未对入局参数值执行适当的边界检查
未执行验证以确保用户输入与预期的数据类型匹配
安全性风险:可能会收集敏感的调试信息
技术描述:如果攻击者通过伪造包含非应用程序预期的参数或参数值的请求,来探测应用程序(如以下示例所示),那么应用程序可能会进入易受攻击的未定义状态。 攻击者可以从应用程序对该请求的响应中获取有用的信息,且可利用该信息,以找出应用程序的弱点。
例如,如果参数字段是单引号括起来的字符串(如在 ASP 脚本或 SQL 查询中),那么注入的单引号将会提前终止字符串流,从而更改脚本的正常流程/语法。
错误消息中泄露重要信息的另一个原因,是脚本编制引擎、Web 服务器或数据库配置错误。
以下是一些不同的变体:
[1] 除去参数
[2] 除去参数值
[3] 将参数值设置为空值
[4] 将参数值设置为数字溢出(+/- 99999999)
[5] 将参数值设置为危险字符,如 ' " \' \" ) ;
[6] 将某字符串附加到数字参数值
[7] 在参数名称后追加“.”(点)或“[]”(尖括号)


24、发现可能的服务器路径泄露模式
测试类型:应用程序级别测试
威胁分类:信息泄露
原因:未安装第三方产品的最新补丁或最新修订程序
安全性风险:可能会检索 Web 服务器安装的绝对路径,这可能会帮助攻击者开展进一步攻击和获取有关 Web 应用程序文件系统结构的信息
技术描述:AppScan 检测到含有文件绝对路径(例如:Windows 的 c:\dir\file,Unix 的 /dir/file)的响应。攻击者也许能够利用这项信息,从而访问到关于服务器机器目录结构的敏感信息,因而能够进一步攻击站点。



本文来自中部分来自:http://p.primeton.com/articles/53c64b6ee13823319f000048

youcey
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
整数溢出的漏洞危害和预防
JinxMow的博客
12-17 2362
智能合约作为区块链2.0的代表技术,适应于区块链去中心化、分布式的特点, 具有独立运行、不可篡改的优良特性,可用于实现包含金融工具在内的各类分布式应用。开发者可以自行定义交易逻辑并开发代码发布到链上,合约代码在矿工节点的虚拟机环境(如EVM)中执行。合约交易被打包进区块后,链上节点执行相同代码,从而同步改变链上数据状态。故合约的多方参与者无需建立信任,也无法相互欺骗。 合约运行在区块链节点中,具有...
AppScan安全问题解决方案 --- 记录
qq_41497111的博客
05-31 861
https://blog.csdn.net/u013938484/article/details/52688379
AppScan Unix 文件参数变更漏洞修复
huan1213858的博客
08-05 1173
未检查用户输入中是否包含“…”(两个点)字符串,比如 url 为 /login?cookie为Cookie: JSESSIONID=…/webapps/RTJEKSWTN26241;使用AppScan扫描之后可以通过这样的方式进行指定问题手动测试。解决办法:使用过滤器过滤参数以及cookie中的…原因:未对用户输入正确执行危险字符清理。
2024年网络安全最全常见Web源码泄露总结_发现 web 应用程序源代码泄露模式(1)
最新发布
2401_84240129的博客
05-03 1026
漏洞成因:在发布代码时未删除文件夹中隐藏的.DS_store,被发现后,获取了敏感的文件名等信息。注意路径检查。
基于Appscan扫描漏洞修复方案
weixin_46659330的博客
07-20 4121
基于Appscan扫描发现的漏洞,以及风险分析,解决方案
appscan扫描修复记录(一)
猩猩林
06-25 840
1. 加密会话(SSL)Cookie 中缺少 Secure 属性(解决) 在nginx中设置cookie属性,在配置文件中server模块设置:add_header Set-Cookie “Secure”; 利用fiddler抓包,查看请求响应中cookie是否包含secure属性 2. 检车到rc4密码套件(解决) rc4是弱密码套件,可以在ngnix配置文件中禁用该弱密码套件 ngnix...
IBM测试appscan教程
05-17
IBM测试appscan教程
IBM AppScan 软件解决方案资料
04-05
IBM AppScan是一款强大的静态应用程序安全测试工具,专为检测软件中的漏洞和安全风险而设计。它可以帮助开发者在编码阶段及早发现并修复潜在的安全问题,从而提升应用的安全性。AppScan支持多种编程语言,包括Java、...
读书笔记之python渗透测试.docx
04-13
### 读书笔记之Python渗透测试知识点汇总 #### 黑盒测试工具 1. **Burp Suite**:一种常用的集成平台,用于执行...这些内容不仅适用于学习和掌握渗透测试技能,也为实际工作中遇到的相关问题提供了参考和解决方案
ibm rational 助您轻松完成自动化的性能测试和性能优化v20.rar
11-26
总之,IBM Rational工具集为IT专业人士提供了全面的性能测试和优化解决方案,从测试设计到执行、分析,再到优化策略制定,涵盖了整个流程。通过利用这些工具,团队可以确保他们的应用程序在各种条件下都能够提供出色...
安全测试报告
06-13
系统安全测试报告
appscan9.0.3.14+pojiebuding完整教程
04-23
开发人员可以根据这些信息定位问题所在,采取相应的修复措施,如修改代码、配置更改或更新库。 6. **报告生成与分享** 生成的报告通常包含扫描概述、发现的漏洞列表、漏洞详细信息和建议的修复步骤。报告可自定义...
SHA-1(Secure Hash Standard)
weixin_40191861的博客
07-13 213
SHA-1 SHA-1(英語:,中文名:安全散列算法1)是一种密码散列函数,美国国家安全局设计,并由美国國家標準技術研究所(NIST)发布为聯邦資料處理標準(FIPS)[3]。SHA-1可以生成一个被称为消息摘要的160位(20字节)散列值,散列值通常的呈现形式为40个十六进制数。 SHA-1 概述 设计者 美国国家安全局 首次发布 1993年(SHA-0) 1995年(SHA-1)
AppScan安全检测工具,检测出的问题解决
yangye1225的博客
12-29 7982
一、跨站点脚本请求编制 二、跨站点请求伪造 三、HTTP动词篡改的认证旁路
java sql数字溢出,安全漏洞问题
weixin_36190910的博客
03-20 330
检测到目标URL存在http host头攻击漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。?解决办法web应用程序应该使用SERVER_NAME而不是host header。在Apach...
【软件与系统安全】整数溢出、格式化字符串、数组越界访问漏洞
kkzzjx
05-20 1397
文章目录一、整数溢出整数表示举例防护二、格式化字符串漏洞三、数组越界访问漏洞产生举例 一、整数溢出 整数表示 原码、反码、补码表示: 对于正数原码、反码以及补码是其本身。负数的原码是其本身,反码是对原码除符号位之外的各位取反,补码则是反码加1。 CF是无符号溢出标志,OF是有符号溢出标志。即使有符号数相加/相减导致了CF=1也没什么意义,不能说明结果的正确与否。此时,OF=1,则说明结果溢出,出现错误;OF=0,说明结果正确。这个过程根本和CF没关系,CF=1/0,都不会影响。 这说明指针类型不同,对
逆向之整数溢出漏洞
菜鸟-传奇
04-26 471
逆向之整数溢出漏洞 溢出漏洞的简介 溢出漏洞的概念:   溢出是黑客利用程序的漏洞,专门开发的一种程序,加相应的参数运行后,就可以达到某种目的。溢出是程序设计者设计时的不足所带来的错误 溢出的类型:   溢出分为缓冲区溢出、 内存溢出、数据溢出等 整数的概念 整数的分类:   在计算机中,整数分为无符号整数以及有符号整数两种 数据在计算机中的存储方式:   数据在计算机中的存储方...
APPScan安全漏洞扫描
zengshaotao的专栏
04-16 7558
IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer over...
IBM-APPSCAN
09-12
IBM-APPSCAN是一款用于应用程序安全测试的软件。使用IBM-APPSCAN可以对系统进行全面自动扫描或手动探索来发现潜在的安全漏洞。在全面自动扫描中,工具会对系统进行自动扫描,并显示扫描结果。但是需要注意的是,全面自动扫描可能无法扫描到类似插件的模块。在手动探索中,测试人员可以对所有模块进行自由灵活的扫描操作,以获得更加细致的扫描结果。 使用IBM-APPSCAN的操作步骤如下: 1. 打开IBM-APPSCAN软件,并创建新的扫描。 2. 选择常规扫描,并选择Appscan(自动或手动)。 3. 在起始URL处输入将要扫描的系统的URL。 4. 选择自动或手动探索,输入用户名和密码。 5. 进行测试操作,录制脚本,并保存录制的脚本。 6. 导入录制的脚本,并添加完毕。 7. 继续仅探索或开始进行安全测试,捕获漏洞。 8. 扫描完毕后,查看扫描结果。 总之,IBM-APPSCAN是一款功能强大的应用程序安全测试工具,可以帮助用户发现系统中的安全漏洞,并提供详细的扫描结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值