`
zpball
  • 浏览: 914054 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

web安全扫描问题疑问 AppScan

阅读更多
首先简单描述一下系统情况:采用的技术struts1.2,EJB3.0,另外公司以前封装了一套jsp标签;应用服务器jboss4.0.2;数据库为SQL Server2005。
       目前我还有2类问题还没有解决—1:会话标识未更新
                                                   2:发现数据库错误模式
       希望有解决过此类问题的大虾们,能给予一点帮助!
       在此先行谢过!!

       系统将近验收的时候,对方发过来一份安全报告- -我们开发的系统有安全漏洞,让我们把漏洞级别为严重的全部解决,否者不予验收。对于这些问题,公司其它项目组包括我都没有人曾经做过(也就是说系统从开始打框架到后来的开发过程没有任何人注意这些问题)。此时脑海浮现一句较为经典的网语“内事问baidu,外事问google…”。经过几天的搜索,简单描述一下我对以下几个安全问题的理解:
      1 发现数据库错误模式:主要是一些数据连接错误信息,通过提交特殊构造的字符,程序会暴露一些数据库信息,也容易引起SQL注入攻击。
      2 会话标识未更新:是cookies过期时间未设置,可能会引发一些cookies欺骗攻击。
      3 跨站点请求伪造:这个是高级攻击技术,是黑客作为中间人攻击,这个漏洞是程序造成的,在不同的会话中两次发送同一请求并且收到相同的响应,也就是说客户端与服务端建立连接后,客户端向服务端提交数据,服务端只认客户端需要什么而返回什么内容给客户端,并没有对客户端的身份进行认证。
      4 不充分帐户封锁:程序没有使用锁定功能,可以穷举密码。
      5 跨站点脚本编制:实际翻译应该是跨站脚本攻击。也就是XSS,是服务端没有对客户端提交的参数进行过滤,例如:2009>%22%27><img%20src%3d%22javascript:alert(473443)%22>,这个就会弹出一个窗口,还可以弹出其他页面,或者做页面跳转等攻击,通常攻击者用来挂马。
      6 SQL 盲注也是要对参数进行过滤,包括危险字符,‘,;@,==,而且通过cookies提交的值也要进行过滤。


      以下内容是我解决这些问题的过程
      首先找了个IBM Rational AppScan 7.8的破解版装上
     (一) 既然http访问有问题安全,那么我换个安全点的https试了试,结果发现严重级别的没有减少,反而严重程度为一般的倒是增加了好几类,晕!(jboss4.0.2配置https服务的步骤在压缩文件里面)


     (二) 对于sql盲注有一下2种情况
1:http://172.16.200.219:9090/project/projectmemberaction.do (2)
       code
       name
2:http://172.16.200.219:9090/system/orgbaseinfoaction .do (3)
       TcnSystemOrgDto.code
       TcnSystemOrgDto.fullname
       TcnSystemOrgDto.addrss
[(2)(3)分别表示该链接下面漏洞注入的个数]
      我针对安全扫描的提示,逐个修改了对数据库列表及查询的操作,使其全部采用prepareStatement预编译的方式。因为系统涉及到的页面太多,对于用户输入框的过滤就不可能一个一个的去修改,因此我写了个filter(见附件)

       做完这些之后,再继续扫描,发现第1种注入问题已经解决,然而第2种问题依旧,而且每次扫描的链接还不一样,正在苦恼之际看到CSDN上有个如下的帖子
彻底杜绝SQL注入
     1.不要使用sa用户连接数据库
     2、新建一个public权限数据库用户,并用这个用户访问数据库
     3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限
     4、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”
其原文见如下路径  http://topic.csdn.net/u/20091221/18/6693545C-A659-4E3B-9454-EBB77D6C8D1F.html
至此,SQl盲注问题就已经解决。(前面的那个过滤器是否多余?这个问题还没来得及验证)



     (三) 对于XSS问题,网上给的意见同样是过滤用户的输入。系统都在验收的阶段,哪有时间对输入框去做限制呢!同样写个filter(代码见附件)



     (四) 对于不充分的账户封锁
      我在登录页面加了一个验证码,在扫描的时候,发现appscan无法扫描,原来在这个工具有个地方设置为自动登录,我加上验证码后,Appscan无法流畅的运行,于是固定了登录action中关于验证的参数。这个问题就没有出现,奇怪???我屏蔽了验证参数的比较,因而页面验证码输入框只是一个摆设,这个问题怎么就没有了呢??

       至此,我遇到的安全问题还有2类没有解决
      一个是会话标识未更新,这个问题出现的地方是在登录的链接(附件有图片)
我试过在登录的login.jsp页面加上session="false"
       1:<%@ page contentType="text/html; charset=GBK" language="java" session="false"%>
在系统登录过程中也没有操作cookie,而且系统其他的地方也没有操作cookie,在登录的时候我设置了cookies[i].setMaxAge(1800);也没有任何作用。

       2:在jboss\server\default\deploy\jbossweb-tomcat55.sar\context.xml

修改其配置为<Context cookies="false">在登录的过程中确实没有创建名为JSEESION的cookie,但是“会话标识未更新”这个问题依然存在!!

是我的方法不对吗?还是我根本没有理解“会话标识未跟新”的意思?



        另外一个未解决的安全问题是发现数据库错误模式,这个问题出现在另外一个系统,该系统采用Struts2+ Hibernate3开发

分享到:
评论
1 楼 housheng33 2011-10-25  
非常不错。。。。。。。。。。。。。。。。。。



qq:331932672

用此方法我解决了N多问题。。感谢!

相关推荐

    Web安全扫描工具:appscan安装和使用

    Web安全扫描工具AppScan是IBM Rational推出的一款强大的应用安全扫描软件,主要针对Web应用程序的安全检测。AppScan家族包含了多种版本,如Source Edition用于源代码安全扫描,Standard Edition用于Web应用的快速...

    安全扫描工具HCL AppScan最新版本10.0.7

    【安全扫描工具HCL AppScan最新版本10.0.7】是一款强大的Web应用程序安全测试解决方案,由全球知名科技公司HCL Technologies开发。这个版本带来了最新的功能和改进,旨在为用户提供更高效、全面的安全评估体验。...

    安全扫描工具AppScan10

    IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞。AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...

    web安全 扫描工具 Appscan .zip

    一款强大的 web安全 扫描工具,可以对网站等 Web 应用 进行自动化的 应用安全扫描和 测试。

    Web安全测试:《Appscan用户指南》《Web安全深度剖析》

    1. **AppScan简介**:AppScan是一个全面的Web应用安全扫描工具,能够自动检测常见的安全弱点,如SQL注入、跨站脚本(XSS)、文件包含漏洞等。 2. **静态应用安全测试(SAST)**:AppScan的静态分析功能可以分析源...

    AppScan扫描网站策略

    - **AppScan Source Edition**:适用于开发阶段,主要用于源代码级别的安全扫描。 - **AppScan Standard Edition**:桌面版AppScan,用于快速扫描Web应用。 - **AppScan Enterprise Edition**:为企业级用户提供更高...

    十大web安全扫描工具

    ### 十大Web安全扫描工具知识点详述 #### 1. Nikto - **简介**:Nikto 是一款开放源代码的 Web 服务器扫描工具,它可以检测多种 Web 服务器中存在的安全漏洞,包括但不限于 3500 多个潜在危险的文件/CGI、900 多种...

    AppScan安全测试总结.docx

    在功能方面,AppScan非常全面,它支持用户登录功能,允许用户模拟实际的登录过程进行安全扫描。扫描结束后,AppScan提供详尽的报告,包括发现的漏洞类型、漏洞原理的解释、修复建议以及手动验证的方法,这对于开发...

    WEB安全检测AppScan用户中文指南

    AppScan是业界广泛认可的自动化安全扫描软件,用于发现并修复Web应用程序中的潜在安全漏洞。 首先,AppScan的工作原理基于静态代码分析和动态应用安全测试(DAST)。静态分析是在不执行代码的情况下检查源代码或...

    著名的Web漏洞扫描工具IBM Rational AppScan企业版7.7.654(part2)

    IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...

    著名的Web漏洞扫描工具IBM Rational AppScan企业版7.7.654(part4)

    IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...

    AppScan 8.7_服务器安全扫描

    **AppScan 8.7:服务器安全扫描利器** AppScan 8.7 是一款专业的服务器安全扫描工具,专为确保企业服务器的安全性而设计。它提供了全面的分析功能,能够帮助系统管理员检测并修复潜在的安全漏洞,从而保护服务器免...

    著名的Web漏洞扫描工具IBM Rational AppScan企业版7.7.654(part3)

    IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...

    著名的Web漏洞扫描工具IBM Rational AppScan企业版7.7.654(part5)

    IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...

    十大Web安全扫描工具

    Web 安全扫描工具综述 在 Web 应用程序安全中,扫描工具扮演着至关重要的角色。黑客经常会寻找 Web 页面的漏洞,作为攻击的入口。为了防止这种情况的发生,需要使用扫描工具来检测和修复这些漏洞。下面将对十大 Web...

    Appscan网站扫描

    **Appscan**是一款功能强大的自动化Web应用安全扫描工具,主要用于识别Web应用程序中的安全漏洞。它通过模拟攻击者的行为,对目标Web应用程序进行全面的漏洞扫描,帮助开发人员和安全团队识别潜在的安全风险。 ####...

    安全测试appscan操作手册-手动探索完全扫描的区别.pdf

    总结来说,AppScan的手动探索模式虽然比全面自动扫描更为耗时,但它提供了更高的定制性和深度,能够发现更多潜在的安全问题。而在实际应用中,测试团队应根据项目需求和时间限制,灵活选择合适的扫描方式,以达到...

Global site tag (gtag.js) - Google Analytics