appscan问题修改

最新推荐文章于 2019-07-01 16:21:27 发布
最新推荐文章于 2019-07-01 16:21:27 发布
阅读量714 收藏
点赞数
分类专栏: 高级测试 文章标签: web.xml java javascript ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zengshaotao/article/details/84924397
版权

1.会话标识未更新:登录页面加入以下代码 

Java代码   收藏代码
  1. request.getSession(true).invalidate();//清空session  
  2. Cookie cookie = request.getCookies()[0];//获取cookie  
  3. cookie.setMaxAge(0);//让cookie过期  


不是很明白session的机制,高手路过可以指教一下。 
2.跨站点请求伪造: 
在出错的url加参数sessionid。 

Java代码   收藏代码
  1. response.getWriter().write( "<script>parent.location.href='dbase/admin/loginJsp.action?sessionId="+sessionId+"'</script>");  


如果带参数报ssl错误,使用下面的post方式传值: 

Java代码   收藏代码
  1. response.getWriter().write(  
  2.                 "<script language=\"javascript\"> " +  
  3.                 "document.write(\"<form action=dbase/admin/loginJsp.action method=post name=formx1 style='display:none'>\");" +  
  4.                 "document.write(\"<input type=hidden name=name value='"+sessionId+"'\");" +  
  5.                 "document.write(\"</form>\");" +  
  6.                 "document.formx1.submit();" +  
  7.                 "</script>"  
  8.                 );  


3.启用不安全HTTP方法 

Java代码   收藏代码
  1. 修改web工程中或者服务器web.xml,增加安全配置信息,禁用不必要HTTP方法  
  2.   <security-constraint>    
  3.    <web-resource-collection>    
  4.       <url-pattern>/*</url-pattern>    
  5.       <http-method>PUT</http-method>    
  6.       <http-method>DELETE</http-method>    
  7.       <http-method>HEAD</http-method>    
  8.       <http-method>OPTIONS</http-method>    
  9.       <http-method>TRACE</http-method>    
  10.    </web-resource-collection>    
  11.    <auth-constraint>    
  12.    </auth-constraint>    
  13.  </security-constraint>    
  14.  <login-config>    
  15.    <auth-method>BASIC</auth-method>    
  16.  </login-config>  


4.已解密登录请求 
配置SSL,具体见http://serisboy.iteye.com/admin/blogs/1320231 
在web.xml加入如下配置。 

Java代码   收藏代码
  1. <security-constraint>    
  2.        <web-resource-collection >    
  3.               <web-resource-name >SSL</web-resource-name>    
  4.               <url-pattern>/*</url-pattern>    
  5.        </web-resource-collection>   
  6.        <user-data-constraint>    
  7.               <transport-guarantee>CONFIDENTIAL</transportguarantee>    
  8.        </user-data-constraint>    
  9. </security-constraint>   


5.高速缓存的ssl页面 

Java代码   收藏代码
  1. 页面  
  2. <meta http-equiv="Pragma" contect="no-cache">  

 

Java代码   收藏代码
  1. java代码  
  2. response.setHeader("Pragma""No-cache");  


6.目录列表 
配置文件目标拒绝访问。 
在conf/web.xml下: 

Java代码   收藏代码
  1. <servlet>   
  2. <servlet-name> default </servlet-name>   
  3. <servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class>   
  4. <init-param>   
  5. <param-name> debug </param-name>   
  6. <param-value> 0 </param-value>   
  7. </init-param>   
  8. <init-param>   
  9. <param-name> listings </param-name>   
  10. <param-value> false </param-value>   
  11. </init-param>   
  12. <load-on-startup> 1 </load-on-startup>   
  13. </servlet>   


把listings对应的value设置为fasle. 
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml   中,把 
servlet-name改为其它的,再加一下servlet-mapping 

Java代码   收藏代码
  1. <servlet>   
  2. <servlet-name> default1 </servlet-name>   
  3. <servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class>   
  4. <init-param>   
  5. <param-name> debug </param-name>   
  6. <param-value> 0 </param-value>   
  7. </init-param>   
  8. <init-param>   
  9. <param-name> listings </param-name>   
  10. <param-value> false </param-value>   
  11. </init-param>   
  12. <load-on-startup> 1 </load-on-startup>   
  13. </servlet>   
  14. <servlet-mapping>   
  15. <servlet-name> default1 </servlet-name>   
  16.         <url-pattern> / </url-pattern>   
  17. <servlet-mapping>   
zengshaotao
关注
专栏目录
AppScan10.0
09-07
5. **修复建议与跟踪**:对于每个漏洞,AppScan通常会提供修复建议,指导开发者如何修改代码以消除安全风险。此外,你可以将这些问题导入到你的缺陷跟踪系统,以便持续监控和管理。 6. **重复扫描与报告**:修复...
漏扫工具Appscan使用(非常详细)
ZL_1618的博客
11-12 1015
名称填写为cookie,内容为复制的cookie字段**(只复制引号里面的内容)**扫描开始有些目录会存在XX,
appscan常见问题修改
happylobster
07-01 2412
jsp中添加: <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:"> servlet中添加: /**解决Missing "C...
解决AppScan扫描问题SQL注入/XSS攻击
yangzjchn的博客
04-24 7988
客户使用IBM的安全漏洞扫描工具AppScan扫出来一堆问题,如SQL盲注、绑定 MongoDB NoSQL 注入、跨站点脚本编制、已解密的登录请求、跨站点请求伪造、链接注入(便于跨站请求伪造)、通过框架钓鱼等等。 参考链接: 防止SQL注入和XSS攻击filter 防止常见XSS 过滤 SQL注入 JAVA过滤器filter ...
AppScan安全扫描-系统漏洞解决方法
qq_27512271的博客
10-11 1万+
1、AppScan简介 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描AppScan source edition,到针对 Web 应用进行快速扫描AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppSca...
AppScan-Setup-10.4.0是AppScan软件的一个安装包版本,该版本为AppScan的10.4.0版本
最新发布
07-22
AppScan采用黑盒测试的方式,能够扫描常见的web应用安全漏洞,并提供详尽的漏洞原理、修改建议、手动验证等功能。 第三方套件更新:添加了基础设施和基本Gui来更新易受攻击的组件规则和Omnia数据,以及VC规则版本的...
APPScan破解汉化版
07-07
AppScan是IBM的一款web安全扫描工具,具有利用爬虫技术进行网站安全渗透测试的能力,能够根据网站入口自动摸取网页链接进行安全扫描,提供了扫描、报告和修复建议等功能。
AppScan学习资料
03-21
- **修复与重扫**:开发者根据报告修复问题后,再次运行AppScan确认问题是否已被消除。 3. **AppScan的主要功能** - **自动化扫描**:节省时间和资源,自动检测多种安全漏洞。 - **自定义规则**:允许用户创建...
安全测试工具AppScan8.0 P1
06-01
文件太大,只能分成六份上传 破解包在另外的上传文件中
AppScan漏洞扫描问题处理总结
12-23 3012
最近要上线一个项目,没有想到上线之前必须执行漏洞扫描,通过IBM Rational AppScan扫描发现不少问题 1.输入框的特殊字符问题 2.登录密码的加密(MD5) 3.攻击性拦截 对于第一个问题,用户名、密码、验证码 都必须进行特殊字符验证,否则的话AppScan给个严重警告。 第二个问题,一般都会注意。 第三个问题,攻击性处理,对于密集的攻击,最好还是搞成密码输入三次错误,2
AppScan扫描建议
热门推荐
沉底的石头
09-10 3万+
1.1        AppScan扫描建议 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [
appScan安全扫描常见问题解决
qq_30684681的博客
11-17 1万+
1、  已解密的登录请求 解决方法:确保所有登录请求都以https加密方式发送到服务器。 2、不充分帐户封锁 解决方法: 1、登录的时候密码输入次数过多时锁住用户XX时间能不能登录,增加锁的功能。 2、加入图形验证码解决暴力攻击。 3、在降级的旧加密上填充 Oracle(也称为 POODLE) 在tomcat的server.xml中添加
IBM AppScan 各种测试问题修改方案
不才の专栏
07-15 7458
IBM AppScan
AppScan之——使用过程中问题记录
冰河的专栏
11-13 8041
一、AppScan安装时出现错误1603 是因为之前安装过,没有卸载干净导致报错。解决方法如下: 1、控制面板→程序和功能→选中程序卸载。 2、删除AppScan安装路径以及下面的所有内容。  3、在系统[开始]-&gt;[运行(R)...]中,运行命令regedit来删除全部注册键(如果存在的话),以及下列的子 键:  A.HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ ...
appscan问题整理
chensi5723的博客
09-23 287
appscan安全问题整改总结 随着网络的发展,安全问题成为网站的一个重要评估标准,appcan作为传统的安全扫描软件被多家网络公司,银行,企业所青睐。这篇文章就对安全问题做一个相应的总结。 提供一些网络找到的整改方法,有的很有用。 1.跨站点请求伪造 该问题是其他的用户借用浏览器中...
appscan扫描修复记录(一)
猩猩林
06-25 863
1. 加密会话(SSL)Cookie 中缺少 Secure 属性(解决) 在nginx中设置cookie属性,在配置文件中server模块设置:add_header Set-Cookie “Secure”; 利用fiddler抓包,查看请求响应中cookie是否包含secure属性 2. 检车到rc4密码套件(解决) rc4是弱密码套件,可以在ngnix配置文件中禁用该弱密码套件 ngnix...
IBM AppScan Standard Edition 安装指南
- 根据AppScan提供的修复建议,修改源代码或调整应用程序设置以解决安全问题。 - 修复后,再次运行扫描以验证漏洞是否已消除。 8. 集成与自动化 - 可以将AppScan集成到持续集成/持续部署(CI/CD)流程中,实现安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值