1.会话cookie 中缺少HttpOnly 属性。
修复任务: 向所有会话cookie 添加“HttpOnly”属性
解决方案,过滤器中,
HttpServletResponse response2 = (HttpServletResponse)response;
//httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问,
//解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
response2.setHeader( "Set-Cookie", "name=value; HttpOnly");
2.跨站点请求伪造。修复任务: 拒绝恶意请求。
解决方案,过滤器中
//HTTP 头设置 Referer过滤
String referer = request2.getHeader("Referer"); //REFRESH
if(referer!=null && referer.indexOf(basePath)<0){ request2.getRequestDispatcher(request2.getRequestURI()).forward(request2, response);
}
3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"
密 码:
<input name="userinfo.userPwd" type="password" autocomplete = "off"/>
4.HTML 注释敏感信息泄露。删除注释信息。
5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。修复任务: 过滤掉用户输入中的危险字符
private String filterDangerString(String value) {
if (value == null) {
return null;
}
value = value.replaceAll("\\|", "");
value = value.replaceAll("&", "&");
value = value.replaceAll(";", "");
value = value.replaceAll("@", "");
value = value.replaceAll("'", "");
value = value.replaceAll("\"", "");
value = value.replaceAll("\\'", "");
value = value.replaceAll("\\\"", "");
value = value.replaceAll("<", "<");
value = value.replaceAll(">", ">");
value = value.replaceAll("\\(", "");
value = value.replaceAll("\\)", "");
value = value.replaceAll("\\+", "");
value = value.replaceAll("\r", "");
value = value.replaceAll("\n", "");
value = value.replaceAll("script", "");
value = value.replaceAll("%27", "");
value = value.replaceAll("%22", "");
value = value.replaceAll("%3E", "");
value = value.replaceAll("%3C", "");
value = value.replaceAll("%3D", "");
value = value.replaceAll("%2F", "");
return value;
}
摘自:
http://www.linuxso.com/architecture/38094.html
分享到:
相关推荐
IBM AppScan是一款广泛使用的静态代码分析工具,用于检测Web应用程序中的安全漏洞。本篇文章将详细探讨AppScan扫描出的五类常见安全漏洞,并提供相应的修复策略。 1. 不充分账户封锁:当系统对失败的登录尝试或恶意...
Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及...
IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞。AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...
AppScan是IBM公司推出的一款强大的Web应用程序安全测试工具,它主要针对常见的Web应用安全漏洞进行黑盒测试。通过深入分析和扫描,AppScan能够帮助企业识别并预防潜在的安全风险,确保Web应用的安全性。 首先,...
根据给定的“中国石化AppScan安全测试报告”的文件信息,我们可以提炼出一系列关于Web应用安全测试的关键知识点,尤其聚焦于中国石化资金集中管理信息系统的安全评估与改进策略。 ### Web应用安全测试背景 中国...
**AppScan安全测试漏洞检测工具10.4版本详解** IBM AppScan是一款广泛使用的安全测试工具,主要用于检测Web应用程序中的安全漏洞。它以其强大的扫描功能和全面的安全评估能力,在IT行业中备受推崇。AppScan 10.4...
AppScan的核心在于其源码分析能力,允许开发者在软件开发的早期阶段发现并修复潜在的安全漏洞,从而降低风险,提高应用的安全性。 在描述中提到的“规则库28150”是指AppScan包含的预定义安全检查规则数量。这些...
AppScan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。AppScan的扫描能力,配置向导和详细的报表系统都进行了整合,简化使用,增强用户测试效率,有利于安全防范和保护web应用基础架构。 在商业...
IBM Security AppScan是IBM推出的一款应用安全测试工具,可以帮助开发人员和测试人员发现Web应用程序的安全漏洞并提供详细的修复建议。该工具主要集中在应用安全领域中,包括黑盒测试、灰盒测试、白盒测试、漏洞扫描...
IBM AppScan是一款广泛应用于企业级应用安全测试的工具,它能够帮助开发者在软件开发过程中发现并修复潜在的安全漏洞。本篇文章将深入探讨AppScan 9.0.3.13这一版本以及其中涉及的安全规则18533。 AppScan 9.0.3.13...
**Appscan**是一款功能强大的自动化Web应用安全扫描工具,主要用于识别Web应用程序中的安全漏洞。它通过模拟攻击者的行为,对目标Web应用程序进行全面的漏洞扫描,帮助开发人员和安全团队识别潜在的安全风险。 ####...
AppScan是一款常见的Web应用安全测试工具,它支持静态、动态、交互式和开源扫描,可以部署在开发生命周期的每个阶段,用于测试web应用程序、API和移动应用程序,以降低安全漏洞带来的风险。AppScan采用黑盒测试的...
HCL AppScan是一款知名的安全测试漏扫工具,用于发现并修复应用中的安全漏洞。在本文中,我们将深入探讨HCL AppScan的最新版本10.0.8 (28186)以及与之相关的知识点。 1. **HCL AppScan概述**: HCL AppScan是一款...
3. **报告(Reporting)**:测试完成后,AppScan会生成详细的报告,指出哪些页面存在何种类型的安全漏洞,帮助开发者或安全专家快速定位问题。 #### 四、AppScan操作指南 ##### 1. 配置目标网站 首先,需要在...
优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。
Appscan 安装使用,创建基本扫描及扫描中遇到的问题。
* AppScan 扫描 web 应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。 二、AppScan 安装和许可证安装 * 安装 Rational AppScan 需要遵循系统需求和安装过程。 * 许可证安装可以使用旧格式(.lic)的许可...
7. **扫描**:执行实际的扫描过程,AppScan会自动进行一系列的攻击尝试,以探测安全漏洞。 AppScan的使用不仅可以帮助用户发现常见的安全问题,如SQL注入、跨站脚本(XSS)、缓冲区溢出等,还能自定义扫描策略,...
IBM Rational AppScan 是一款强大的静态代码分析工具,主要用于检测Web应用程序的安全漏洞。这款工具广泛应用于软件开发生命周期(SDLC)中,帮助开发者在编码阶段就能发现并修复潜在的安全问题,从而提高应用的安全...
- **漏洞识别**:AppScan 8.7 能够识别多种安全漏洞,包括操作系统漏洞、应用漏洞以及配置错误等。 - **动态分析**:支持动态应用安全测试(DAST),在运行时分析应用程序的行为,捕捉潜在的不安全交互。 - **...