1.会话cookie 中缺少HttpOnly 属性。
修复任务: 向所有会话cookie 添加“HttpOnly”属性
解决方案,过滤器中,
HttpServletResponse response2 = (HttpServletResponse)response;
//httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问,
//解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
response2.setHeader( "Set-Cookie", "name=value; HttpOnly");
2.跨站点请求伪造。修复任务: 拒绝恶意请求。
解决方案,过滤器中
//HTTP 头设置 Referer过滤
String referer = request2.getHeader("Referer"); //REFRESH
if(referer!=null && referer.indexOf(basePath)<0){
request2.getRequestDispatcher(request2.getRequestURI()).forward(request2, response);
}
3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"
密 码:
<input name="userinfo.userPwd" type="password" autocomplete = "off"/>
4.HTML 注释敏感信息泄露。删除注释信息。
5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。修复任务: 过滤掉用户输入中的危险字符
private String filterDangerString(String value) {
if (value == null) {
return null;
}
value = value.replaceAll("\\|", "");
value = value.replaceAll("&", "&");
value = value.replaceAll(";", "");
value = value.replaceAll("@", "");
value = value.replaceAll("'", "");
value = value.replaceAll("\"", "");
value = value.replaceAll("\\'", "");
value = value.replaceAll("\\\"", "");
value = value.replaceAll("<", "<");
value = value.replaceAll(">", ">");
value = value.replaceAll("\\(", "");
value = value.replaceAll("\\)", "");
value = value.replaceAll("\\+", "");
value = value.replaceAll("\r", "");
value = value.replaceAll("\n", "");
value = value.replaceAll("script", "");
value = value.replaceAll("%27", "");
value = value.replaceAll("%22", "");
value = value.replaceAll("%3E", "");
value = value.replaceAll("%3C", "");
value = value.replaceAll("%3D", "");
value = value.replaceAll("%2F", "");
return value;
}
- 大小: 28.9 KB
- 大小: 26.2 KB
分享到:
相关推荐
**IBM Rational AppScan 网站安全检测** IBM Rational AppScan 是一款强大的静态代码分析工具,主要用于检测Web应用程序的安全漏洞。这款工具广泛应用于软件开发生命周期(SDLC)中,帮助开发者在编码阶段就能发现...
IBM Rational AppScan是一款强大的自动化Web应用程序安全测试工具,由IBM公司开发并推出。它主要用于检测Web应用中存在的各种安全漏洞,包括跨站脚本攻击(XSS)、SQL注入、网络钓鱼以及权限管理等方面的问题。...
IBM Rational AppScan Enterprise Edition 7.7.654 part5
著名漏洞扫描工具IBM Rational AppScan 7.8.0.2中文 带注册机.7z.003
这是IBM Rational AppScan7.8.0.2-简体中文、破解、升级补丁包,以及破解说明,从网上搜集,现共享出来,共有14个文件,下载到同一个目录文件夹进行解压即可
IBM Rational AppScan Enterprise Edition 7.7.654 安装程序、破解文件及注册机 可升级(已测试) 分七个部分,请分别下载然后放到同一文件夹中解压
IBM Rational AppScan Enterprise Edition 7.7.654 part7
### IBM Rational AppScan介绍与应用安全建设 #### 安全背景 随着互联网技术的迅猛发展,各类网络攻击手段层出不穷,企业面临着前所未为的安全威胁。据IBM的报告指出,现今75%的网络攻击集中在应用层面上,而这些...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
Rational AppScan Enterprise Edition 7.8是一款由IBM推出的强大且全面的Web应用程序安全扫描工具,旨在帮助企业在开发过程中发现并修复潜在的安全漏洞。这款软件是Rational AppScan系列的旗舰版本,集成了高级的...
这是IBM Rational AppScan7.8.0.2-简体中文、破解、升级补丁包,以及破解说明,从网上搜集,现共享出来,共有14个文件,下载到同一个目录文件夹进行解压即可
IBM Rational AppScan 是一款功能强大的 Web 应用程序安全扫描工具,旨在帮助开发者和安全专家检测和修复 Web 应用程序中的安全漏洞。在本文中,我们将指导您下载和安装 IBM Rational AppScan 试用版,并对其基本...
IBM Rational AppScan Enterprise Edition 7.7.654 part3
IBM Rational AppScan Enterprise Edition 7.7.654 part6
IBM Rational AppScan Enterprise Edition 7.7.654 part4
著名漏洞扫描工具IBM Rational AppScan 7.8.0.2中文带注册机.7z.001 总共分为5个分卷