appscan问题修改

最新推荐文章于 2022-03-21 21:27:24 发布
最新推荐文章于 2022-03-21 21:27:24 发布
阅读量714 收藏
点赞数
分类专栏: 高级测试 文章标签: web.xml java javascript ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zengshaotao/article/details/84924397
版权

1.会话标识未更新:登录页面加入以下代码 

Java代码   收藏代码
  1. request.getSession(true).invalidate();//清空session  
  2. Cookie cookie = request.getCookies()[0];//获取cookie  
  3. cookie.setMaxAge(0);//让cookie过期  


不是很明白session的机制,高手路过可以指教一下。 
2.跨站点请求伪造: 
在出错的url加参数sessionid。 

Java代码   收藏代码
  1. response.getWriter().write( "<script>parent.location.href='dbase/admin/loginJsp.action?sessionId="+sessionId+"'</script>");  


如果带参数报ssl错误,使用下面的post方式传值: 

Java代码   收藏代码
  1. response.getWriter().write(  
  2.                 "<script language=\"javascript\"> " +  
  3.                 "document.write(\"<form action=dbase/admin/loginJsp.action method=post name=formx1 style='display:none'>\");" +  
  4.                 "document.write(\"<input type=hidden name=name value='"+sessionId+"'\");" +  
  5.                 "document.write(\"</form>\");" +  
  6.                 "document.formx1.submit();" +  
  7.                 "</script>"  
  8.                 );  


3.启用不安全HTTP方法 

Java代码   收藏代码
  1. 修改web工程中或者服务器web.xml,增加安全配置信息,禁用不必要HTTP方法  
  2.   <security-constraint>    
  3.    <web-resource-collection>    
  4.       <url-pattern>/*</url-pattern>    
  5.       <http-method>PUT</http-method>    
  6.       <http-method>DELETE</http-method>    
  7.       <http-method>HEAD</http-method>    
  8.       <http-method>OPTIONS</http-method>    
  9.       <http-method>TRACE</http-method>    
  10.    </web-resource-collection>    
  11.    <auth-constraint>    
  12.    </auth-constraint>    
  13.  </security-constraint>    
  14.  <login-config>    
  15.    <auth-method>BASIC</auth-method>    
  16.  </login-config>  


4.已解密登录请求 
配置SSL,具体见http://serisboy.iteye.com/admin/blogs/1320231 
在web.xml加入如下配置。 

Java代码   收藏代码
  1. <security-constraint>    
  2.        <web-resource-collection >    
  3.               <web-resource-name >SSL</web-resource-name>    
  4.               <url-pattern>/*</url-pattern>    
  5.        </web-resource-collection>   
  6.        <user-data-constraint>    
  7.               <transport-guarantee>CONFIDENTIAL</transportguarantee>    
  8.        </user-data-constraint>    
  9. </security-constraint>   


5.高速缓存的ssl页面 

Java代码   收藏代码
  1. 页面  
  2. <meta http-equiv="Pragma" contect="no-cache">  

 

Java代码   收藏代码
  1. java代码  
  2. response.setHeader("Pragma""No-cache");  


6.目录列表 
配置文件目标拒绝访问。 
在conf/web.xml下: 

Java代码   收藏代码
  1. <servlet>   
  2. <servlet-name> default </servlet-name>   
  3. <servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class>   
  4. <init-param>   
  5. <param-name> debug </param-name>   
  6. <param-value> 0 </param-value>   
  7. </init-param>   
  8. <init-param>   
  9. <param-name> listings </param-name>   
  10. <param-value> false </param-value>   
  11. </init-param>   
  12. <load-on-startup> 1 </load-on-startup>   
  13. </servlet>   


把listings对应的value设置为fasle. 
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml   中,把 
servlet-name改为其它的,再加一下servlet-mapping 

Java代码   收藏代码
  1. <servlet>   
  2. <servlet-name> default1 </servlet-name>   
  3. <servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class>   
  4. <init-param>   
  5. <param-name> debug </param-name>   
  6. <param-value> 0 </param-value>   
  7. </init-param>   
  8. <init-param>   
  9. <param-name> listings </param-name>   
  10. <param-value> false </param-value>   
  11. </init-param>   
  12. <load-on-startup> 1 </load-on-startup>   
  13. </servlet>   
  14. <servlet-mapping>   
  15. <servlet-name> default1 </servlet-name>   
  16.         <url-pattern> / </url-pattern>   
  17. <servlet-mapping>   
zengshaotao
关注
专栏目录
发现可高速缓存的SSL页面处理方法
02-05
提供方法解决appscan扫描出来的漏洞《发现可高速缓存的SSL页面》,主要是设置页面不被缓存
AppScan10.0
09-07
5. **修复建议与跟踪**:对于每个漏洞,AppScan通常会提供修复建议,指导开发者如何修改代码以消除安全风险。此外,你可以将这些问题导入到你的缺陷跟踪系统,以便持续监控和管理。 6. **重复扫描与报告**:修复...
appscan常见问题修改
happylobster
07-01 2403
jsp中添加: <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:"> servlet中添加: /**解决Missing "C...
AppScan进行安全扫描,出现通信问题
freesindy的专栏
02-07 9250
Rational AppScan Standard 9.0.1.0安全扫描出现通信问题 问题: 使用Rational AppScan Standard 9.0.1.0进行一个web系统扫描,提示通信问题 解决方法: 1 首先排除防火墙以及安全软件拦截问题,关闭防火墙以及安全软件,进行扫描,看是否还有此问题; 我是把要扫描的系统部署到本机的,直接关闭了本机的安全软件以及防火墙,扫描后还有此
appscan扫描系统报通讯问题_YDDQ-NBM-TS1型智能爬架控制系统--故障排除
weixin_36202642的博客
01-11 665
YDDQ-NBM-TS1型智能爬架控制系统在出厂前会100%进行检测老化,在现运输过程中或者安装不规范,可能出现设备故障,现给出常规故障排渣解决办法,供用户参考。一:设备无法正常上电启动1、主控无法正常启动此时请检查系统电源总线是否连接正确,相序是否错接。用万用变测量三项四线制是否有电压。2、分控无法正常启动请检测分控段空开是否打开,空开输出端是否有电压,以及分控电源线是否接触良好。3、分控启动立...
AppScan安全扫描,连接超时的问题(转载至好奇猫_6b35)
guojunzhu的博客
06-17 2025
AppScan安全扫描,连接超时的问题 问题描述:AppScan安全扫描初期正常,进行一段时间后,发现已测试的元素数不增加,发送的http请求数增加缓慢,扫描日志显示由于通信错误测试请求…………连接超时,如下图所示: 网上的说法是: 通常由于以下原因会导致发生通信问题: 原因 1 在Rational AppScan Standard的主机上安装的个人防火墙或防病毒软件会屏蔽向外发送的信息 原因 2 企业防火墙软件会将AppScan发送的请求当作对网站的攻击从而切断连接。 原因 3 当Rational Ap
AppScan-Setup-10.4.0是AppScan软件的一个安装包版本,该版本为AppScan的10.4.0版本
最新发布
07-22
AppScan采用黑盒测试的方式,能够扫描常见的web应用安全漏洞,并提供详尽的漏洞原理、修改建议、手动验证等功能。 第三方套件更新:添加了基础设施和基本Gui来更新易受攻击的组件规则和Omnia数据,以及VC规则版本的...
APPScan破解汉化版
07-07
AppScan是IBM的一款web安全扫描工具,具有利用爬虫技术进行网站安全渗透测试的能力,能够根据网站入口自动摸取网页链接进行安全扫描,提供了扫描、报告和修复建议等功能。
web安全扫描问题疑问 AppScan
03-18
标题中的“web安全扫描问题疑问 AppScan”表明讨论的主题聚焦在Web应用的安全性上,特别是使用了IBM的应用安全扫描工具AppScanAppScan是一款广泛使用的工具,用于检测Web应用程序的安全漏洞,如SQL注入、跨站脚本...
appscan-codesweep-action:将静态安全测试与HCL AppScan CodeSweep与Github集成
04-17
当添加到新的或现有的Github工作流中时,此操作将对所有已修改和已添加的代码行进行安全扫描。 易受攻击的代码行带有信息注释,以帮助开发人员解决问题。 在请求请求上调用操作,以便在代码合并到存储库之前使开发...
Appscan安全漏扫问题总结
weixin_30527551的博客
05-15 1276
最近解决Appscan安全漏洞扫描软件上的漏洞,遇到不少问题,趁热打铁写个总结。 下面罗列问题类型,截图,以及解决方案。 1.SQL盲注 对于一些sql关键词过滤掉即可。 public static boolean checkWebUnSafesql(String word){ String str=word.replaceAll("'", "").rep...
nginx 漏洞修复
趴着的猫的博客
03-21 1万+
nginx
AppScan扫描建议
热门推荐
沉底的石头
09-10 3万+
1.1        AppScan扫描建议 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [
AppScan漏洞扫描问题处理总结
12-23 3010
最近要上线一个项目,没有想到上线之前必须执行漏洞扫描,通过IBM Rational AppScan扫描发现不少问题 1.输入框的特殊字符问题 2.登录密码的加密(MD5) 3.攻击性拦截 对于第一个问题,用户名、密码、验证码 都必须进行特殊字符验证,否则的话AppScan给个严重警告。 第二个问题,一般都会注意。 第三个问题,攻击性处理,对于密集的攻击,最好还是搞成密码输入三次错误,2
IBM AppScan 安全漏洞问题修复(.net)
df4285的博客
11-10 473
问题类型分类的问题 使用 SQL 注入的认证旁路2 已解密的登录请求3 登录错误消息凭证枚举1 会话标识未更新2 跨站点请求伪造1 Missing "Content-Security-Policy" header 9 Missing "X-Content-Type-Options" header 9 Missing "X-XSS-Protection" hea...
IBM AppScan 安全扫描报告中部分问题的解决办法
行万里
04-09 1万+
IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性处理办法 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加:
Appscan---会话标识未更新
KerryRuan的专栏
04-05 2557
会话标识未更新  严重性: 高  类型: 应用程序级别测试  WASC 威胁分类: 授权类型:会话定置  CVE 引用: 不适用  安全风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 ---------------------------------------------------------
安全软件: 扫描提示发现可高速缓存的登录页面解决方案
风之使者的博客
06-14 1772
扫描工具: IBM Security AppScan, 它会对 web应用程序进行自动的安全漏洞扫描。 漏洞报告截图: 解决方案: 1). <meta http-equiv="Cache-Control" content="no-cache, no-store"> 告知浏览器不缓存页面 2). <meta http-equiv="Pragma" content="no-cache">
IBM Rational AppScan Standard Edition 入门指南
通过静态分析源代码或字节码,AppScan可以在应用程序开发周期的早期阶段识别出安全问题,从而减少了在生产环境中修复漏洞的成本。 2. **AppScan Standard Edition特性**: - **静态分析**:AppScan能够分析源代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值