`
cuker919
  • 浏览: 97687 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

AppScan安全漏洞报告

 
阅读更多
1.会话cookie 中缺少HttpOnly 属性。
修复任务: 向所有会话cookie 添加“HttpOnly”属性
解决方案,过滤器中,
Java代码 收藏代码
  1. HttpServletResponseresponse2=(HttpServletResponse)response;
  2. //httponly是微软对cookie做的扩展,该值指定Cookie是否可通过客户端脚本访问,
  3. //解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
  4. response2.setHeader("Set-Cookie","name=value;HttpOnly");


2.跨站点请求伪造。修复任务: 拒绝恶意请求。
解决方案,过滤器中
Java代码 收藏代码
  1. //HTTP头设置Referer过滤
  2. Stringreferer=request2.getHeader("Referer");//REFRESH
  3. if(referer!=null&&referer.indexOf(basePath)<0){request2.getRequestDispatcher(request2.getRequestURI()).forward(request2,response);
  4. }



3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"
Html代码 收藏代码
  1. 密&nbsp;&nbsp;码:
  2. <inputname="userinfo.userPwd"type="password"autocomplete="off"/>


4.HTML 注释敏感信息泄露。删除注释信息。

5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。
修复任务: 过滤掉用户输入中的危险字符
Java代码 收藏代码
  1. privateStringfilterDangerString(Stringvalue){
  2. if(value==null){
  3. returnnull;
  4. }
  5. value=value.replaceAll("\\|","");
  6. value=value.replaceAll("&","&amp;");
  7. value=value.replaceAll(";","");
  8. value=value.replaceAll("@","");
  9. value=value.replaceAll("'","");
  10. value=value.replaceAll("\"","");
  11. value=value.replaceAll("\\'","");
  12. value=value.replaceAll("\\\"","");
  13. value=value.replaceAll("<","&lt;");
  14. value=value.replaceAll(">","&gt;");
  15. value=value.replaceAll("\\(","");
  16. value=value.replaceAll("\\)","");
  17. value=value.replaceAll("\\+","");
  18. value=value.replaceAll("\r","");
  19. value=value.replaceAll("\n","");
  20. value=value.replaceAll("script","");
  21. value=value.replaceAll("%27","");
  22. value=value.replaceAll("%22","");
  23. value=value.replaceAll("%3E","");
  24. value=value.replaceAll("%3C","");
  25. value=value.replaceAll("%3D","");
  26. value=value.replaceAll("%2F","");
  27. returnvalue;
  28. }
分享到:
评论

相关推荐

    appscan安全漏洞修复

    IBM AppScan是一款广泛使用的静态代码分析工具,用于检测Web应用程序中的安全漏洞。本篇文章将详细探讨AppScan扫描出的五类常见安全漏洞,并提供相应的修复策略。 1. 不充分账户封锁:当系统对失败的登录尝试或恶意...

    AppScan测试报告

    Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及...

    安全扫描工具AppScan10

    IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞。AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...

    AppScan安全测试总结.docx

    AppScan是IBM公司推出的一款强大的Web应用程序安全测试工具,它主要针对常见的Web应用安全漏洞进行黑盒测试。通过深入分析和扫描,AppScan能够帮助企业识别并预防潜在的安全风险,确保Web应用的安全性。 首先,...

    中国石化AppScan安全测试报告

    根据给定的“中国石化AppScan安全测试报告”的文件信息,我们可以提炼出一系列关于Web应用安全测试的关键知识点,尤其聚焦于中国石化资金集中管理信息系统的安全评估与改进策略。 ### Web应用安全测试背景 中国...

    AppScan安全测试漏洞检测工具10.4版本

    **AppScan安全测试漏洞检测工具10.4版本详解** IBM AppScan是一款广泛使用的安全测试工具,主要用于检测Web应用程序中的安全漏洞。它以其强大的扫描功能和全面的安全评估能力,在IT行业中备受推崇。AppScan 10.4...

    安全扫描工具HCL AppScan最新版本10.0.7

    AppScan的核心在于其源码分析能力,允许开发者在软件开发的早期阶段发现并修复潜在的安全漏洞,从而降低风险,提高应用的安全性。 在描述中提到的“规则库28150”是指AppScan包含的预定义安全检查规则数量。这些...

    appscan使用教程

    AppScan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。AppScan的扫描能力,配置向导和详细的报表系统都进行了整合,简化使用,增强用户测试效率,有利于安全防范和保护web应用基础架构。 在商业...

    IBM Security AppScan安装包

    IBM Security AppScan是IBM推出的一款应用安全测试工具,可以帮助开发人员和测试人员发现Web应用程序的安全漏洞并提供详细的修复建议。该工具主要集中在应用安全领域中,包括黑盒测试、灰盒测试、白盒测试、漏洞扫描...

    appscan9.0.3.13+安全规则18533.rar

    IBM AppScan是一款广泛应用于企业级应用安全测试的工具,它能够帮助开发者在软件开发过程中发现并修复潜在的安全漏洞。本篇文章将深入探讨AppScan 9.0.3.13这一版本以及其中涉及的安全规则18533。 AppScan 9.0.3.13...

    Appscan网站扫描

    **Appscan**是一款功能强大的自动化Web应用安全扫描工具,主要用于识别Web应用程序中的安全漏洞。它通过模拟攻击者的行为,对目标Web应用程序进行全面的漏洞扫描,帮助开发人员和安全团队识别潜在的安全风险。 ####...

    AppScan-Setup-10.4.0是AppScan软件的一个安装包版本,该版本为AppScan的10.4.0版本

    AppScan是一款常见的Web应用安全测试工具,它支持静态、动态、交互式和开源扫描,可以部署在开发生命周期的每个阶段,用于测试web应用程序、API和移动应用程序,以降低安全漏洞带来的风险。AppScan采用黑盒测试的...

    安全测试漏扫工具_HCL AppScan最新版本_10.0.8(28186)_2022年8月_appscan28150下载

    HCL AppScan是一款知名的安全测试漏扫工具,用于发现并修复应用中的安全漏洞。在本文中,我们将深入探讨HCL AppScan的最新版本10.0.8 (28186)以及与之相关的知识点。 1. **HCL AppScan概述**: HCL AppScan是一款...

    AppScan扫描网站策略

    3. **报告(Reporting)**:测试完成后,AppScan会生成详细的报告,指出哪些页面存在何种类型的安全漏洞,帮助开发者或安全专家快速定位问题。 #### 四、AppScan操作指南 ##### 1. 配置目标网站 首先,需要在...

    安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196

    优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。

    Appscan 安全测试指南

    Appscan 安装使用,创建基本扫描及扫描中遇到的问题。

    IBM测试appscan教程.ppt

    * AppScan 扫描 web 应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。 二、AppScan 安装和许可证安装 * 安装 Rational AppScan 需要遵循系统需求和安装过程。 * 许可证安装可以使用旧格式(.lic)的许可...

    Web安全扫描工具:appscan安装和使用

    7. **扫描**:执行实际的扫描过程,AppScan会自动进行一系列的攻击尝试,以探测安全漏洞。 AppScan的使用不仅可以帮助用户发现常见的安全问题,如SQL注入、跨站脚本(XSS)、缓冲区溢出等,还能自定义扫描策略,...

    IBM Rational AppScan 网站安全检测

    IBM Rational AppScan 是一款强大的静态代码分析工具,主要用于检测Web应用程序的安全漏洞。这款工具广泛应用于软件开发生命周期(SDLC)中,帮助开发者在编码阶段就能发现并修复潜在的安全问题,从而提高应用的安全...

    AppScan 8.7_服务器安全扫描

    - **漏洞识别**:AppScan 8.7 能够识别多种安全漏洞,包括操作系统漏洞、应用漏洞以及配置错误等。 - **动态分析**:支持动态应用安全测试(DAST),在运行时分析应用程序的行为,捕捉潜在的不安全交互。 - **...

Global site tag (gtag.js) - Google Analytics