AppScan扫描安全问题解决实录-跨站点请求伪造

最新推荐文章于 2024-06-24 09:15:00 发布
最新推荐文章于 2024-06-24 09:15:00 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 安全攻击 文章标签: java 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaovirus/article/details/106145408
版权

问题解析

跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。

场景:1论坛提交的链接2钓鱼网站

例子:假如一家银行用以运行转账操作的URL地址如下:http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName那么,一个恶意攻击者可以在另一个网站上放置如下代码: <imgsrc="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金

通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header

解决方案

配置过滤器拦截refer非本网站的请求



import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
 
public class CSRFilter implements Filter {
    
    private String[] verifyReferer = null;
    private static Log log = LogFactory.getLog(CSRFilter.class);
    public void destroy() {
        
    }
 
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        String referer = ((HttpServletRequest)request).getHeader("Referer"); 
        boolean b = false;
        for(String vReferer : verifyReferer){
            if(referer==null || referer.trim().startsWith(vReferer)){
                b = true;
                chain.doFilter(request, response);
                break;
            }
        }
        if(!b){
            log.error("疑似CSRF攻击,referer:"+referer);
        }
    }
 
    public void init(FilterConfig filterConfig) throws ServletException {
        String referer = filterConfig.getInitParameter("referer");
        this.verifyReferer = referer.split(",");
    }
 
}

web.xml配置过滤器

	<filter>
		<filter-name>csrfFilter</filter-name>
		<filter-class>com.filter.CSRFilter</filter-class>
		<init-param>
			<param-name>referer</param-name>
			<param-value>localhost</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>csrfFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

 

yaovirus
关注
专栏目录
Appscan漏洞之站点请求伪造(CSRF)
arkqyo2595的博客
06-06 1923
  公司前段时间使用了Fortify扫描项目代码,在修复完这些Fortify漏洞后,最近又启用了Appscan对项目代码进行漏洞扫描,同样也是安排了本人对这些漏洞进行修复。现在,针对修复过的Appscan漏洞也一一总结一下。本次先对Cross-site request forgery(请求伪造) 漏洞进行总结如下: 1、站点请求伪造(CSRF) 1.1、攻击原理   CSR...
IBM Security Appscan漏洞--站点请求伪造
YouXu
03-16 7800
漏洞介绍: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
AppScan安全专项问题解决
最新发布
m0_61869253的博客
06-24 1177
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
请求伪造
weixin_30896763的博客
03-29 75
请求伪造 (CSRF) CSRF与站脚本(XSS)非常相似, 只有一个非常重要的不同之处。XSS利用客户端的弱点,而CSRF利用的是网站服务器的弱点。 按照OWASP, “一个CSRF袭击迫使某个登录的浏览器向易受攻击的Web应用发送一个请求,然后以受害者的名义,为入侵者的利益进行所选择的行动”(“OWASP Top 10”, 2007 (RC1), 19页)...
java 站点伪造请求_AppScan漏洞扫描之-站点请求伪造
weixin_33458169的博客
02-25 609
解决方案:增加一个过滤器,当请求头Referer中包含扫描里的http://bogus.referer.hcl.com时,禁止访问/******************************************************************************** @(#)CSRFilter.java 2020/4/7** Copyright 2020 emrubik...
java如何解决站点请求伪造_AppScan漏洞扫描之-站点请求伪造
weixin_39675178的博客
03-08 748
解决方案:增加一个过滤器,当请求头Referer中包含扫描里的http://bogus.referer.hcl.com时,禁止访问/******************************************************************************** @(#)CSRFilter.java 2020/4/7** Copyright 2020 emrubik...
appscan扫描 通过框架钓鱼、链接注入(便于请求伪造)、站点脚本编制等问题
Mervyn的博客
10-11 1560
手上的一个项目最近用appscan扫描测试。遇到了几个中高问题: 通过框架钓鱼 链接注入(便于请求伪造站点脚本编制 看了下测试报告给出的原因:未对用户输入正确执行危险字符清理。 修改建议是针对xss漏洞进行修复。 最开始处理的时候,参照预防XSS攻击,(参数/响应值)特殊字符过滤这篇博文做了过滤,再扫描还是有这几个问题。 后面又看了篇博文XSS攻击常识及常见的XSS攻击脚本汇总,了解...
安全测试漏扫工具-HCL AppScan-10.5.0(28368)-2024年4月-下载
04-12
问题视图中的高级搜索:通过在请求/响应或问题表中搜索特定字符串,轻松浏览数据。 添加了新的测试策略: OWASP 十大 API 安全风险 – 2023 年 OWASP 前 10 名 – 2021 ### 更新的监管合规报告: 2023 年 OWASP...
AppScan安全扫描记录遇到的一些问题
qq_41345150的博客
09-26 1838
AppScan安全扫描记录遇到的一些问题sql注入&站点脚本编制&通过框架钓鱼&链接注入(便于请求伪造)缺少帧脚本编制防御 X-Frame-Options缺少“Content-Security-Policy”头缺少 HTTP Strict-Transport-Security 头缺少“X-Content-Type-Options”头缺少“X-XSS-Protecti...
如何解决站点请求伪造
tooby的专栏
06-12 1073
  如何解决站点请求伪造 IBM appscan扫描漏洞--站点请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 c...
请求伪造-CSRF防护方法
03-12
请求伪造-CSRF防护方法请求伪造-CSRF防护方法
漏洞扫描神器:AppScan 保姆级教程(附破解步骤)
Flag少侠的博客
05-04 4585
AppScan是IBM的一款应用程序安全测试工具,旨在帮助组织发现和修复应用程序中的安全漏洞。它提供了全面的功能和工具,用于自动化应用程序安全测试、漏洞扫描和漏洞管理。以下是AppScan的一些主要特点和功能:1. 自动化漏洞扫描AppScan可以自动扫描Web应用程序和移动应用程序,发现其中的安全漏洞。它支持多种扫描技术和策略,包括黑盒扫描和白盒扫描,帮助用户全面评估应用程序的安全性。
站点请求伪造解决方案
热门推荐
NumOneDD的博客
06-30 1万+
AppScan 站点请求伪造 Token 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 1.站点请求伪造 首先,什么是站点请求伪造? 站点请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造你的请求,最可怕
站点请求伪造(CSRF)--简介
杨春建的博客
08-21 749
全名(Cross Site Request Forgery)。  攻击者首先在自己的域构造一个页面: http://www.a.com/csrf.html 其内容为:  攻击者诱使目标用户访问这个页面。  该用户看到了一张无法显示的图片,再回过头看看搜狐博客,发现id=123456789的博客已经被删除了。  原来刚才访问http://www.a.com/csrf.html时,图片标
基于Appscan扫描漏洞修复方案
weixin_46659330的博客
07-20 4402
基于Appscan扫描发现的漏洞,以及风险分析,解决方案
Appscan设置汇总篇:
vikesgao
08-02 2334
----------------------------------------------------------- ----------------------------------------------------------- URL和服务端-----> 其他服务器和域:如果应用程序包含的服务器或域不同于“起始 URL”包含的服务器或域 --------------------
AppScan漏洞风险处理
qq_32590535的博客
06-19 3362
文章主要记录了一些由IBM Security AppScan Standard扫描的漏洞以及对应的修复方案,主要的应用技术架构为java的springboot单体
aweb.xml站点请求伪造过滤器
09-06
- *2* *3* [AppScan漏洞扫描之-站点请求伪造](https://blog.csdn.net/weixin_39675178/article/details/115089193)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值