`
Dxx23
  • 浏览: 142891 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

AppScan安全漏洞报告

阅读更多
1.会话cookie 中缺少HttpOnly 属性。 
修复任务: 向所有会话cookie 添加“HttpOnly”属性
  解决方案,过滤器中,
HttpServletResponse response2 = (HttpServletResponse)response;
//httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问, 
//解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
response2.setHeader( "Set-Cookie", "name=value; HttpOnly"); 


2.跨站点请求伪造。修复任务: 拒绝恶意请求。 
解决方案,过滤器中
//HTTP 头设置 Referer过滤
String referer = request2.getHeader("Referer");   //REFRESH
if(referer!=null && referer.indexOf(basePath)<0){			request2.getRequestDispatcher(request2.getRequestURI()).forward(request2, response);
}



3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"
密&nbsp;&nbsp;码:
<input name="userinfo.userPwd" type="password"  autocomplete = "off"/>


4.HTML 注释敏感信息泄露。删除注释信息。

5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。修复任务: 过滤掉用户输入中的危险字符
private String filterDangerString(String value) {
		if (value == null) {
			return null;
		}
		value = value.replaceAll("\\|", "");

		value = value.replaceAll("&", "&amp;");

		value = value.replaceAll(";", "");

		value = value.replaceAll("@", "");

		value = value.replaceAll("'", "");

		value = value.replaceAll("\"", "");

		value = value.replaceAll("\\'", "");

		value = value.replaceAll("\\\"", "");

		value = value.replaceAll("<", "&lt;");

		value = value.replaceAll(">", "&gt;");

		value = value.replaceAll("\\(", "");

		value = value.replaceAll("\\)", "");

		value = value.replaceAll("\\+", "");

		value = value.replaceAll("\r", "");

		value = value.replaceAll("\n", "");

		value = value.replaceAll("script", "");
		
		value = value.replaceAll("%27", "");
		value = value.replaceAll("%22", "");
		value = value.replaceAll("%3E", "");
		value = value.replaceAll("%3C", "");
		value = value.replaceAll("%3D", "");
		value = value.replaceAll("%2F", "");
		return value;
	}


摘自:http://www.linuxso.com/architecture/38094.html
分享到:
评论
1 楼 kingtoon 2016-06-27  
直接升级到tomcat7就ok了

相关推荐

    appscan安全漏洞修复

    IBM AppScan是一款广泛使用的静态代码分析工具,用于检测Web应用程序中的安全漏洞。本篇文章将详细探讨AppScan扫描出的五类常见安全漏洞,并提供相应的修复策略。 1. 不充分账户封锁:当系统对失败的登录尝试或恶意...

    AppScan测试报告

    Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及...

    安全扫描工具AppScan10

    IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞。AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...

    AppScan安全测试总结.docx

    AppScan是IBM公司推出的一款强大的Web应用程序安全测试工具,它主要针对常见的Web应用安全漏洞进行黑盒测试。通过深入分析和扫描,AppScan能够帮助企业识别并预防潜在的安全风险,确保Web应用的安全性。 首先,...

    中国石化AppScan安全测试报告

    根据给定的“中国石化AppScan安全测试报告”的文件信息,我们可以提炼出一系列关于Web应用安全测试的关键知识点,尤其聚焦于中国石化资金集中管理信息系统的安全评估与改进策略。 ### Web应用安全测试背景 中国...

    appscan9.0.3.13+安全规则18533.rar

    IBM AppScan是一款广泛应用于企业级应用安全测试的工具,它能够帮助开发者在软件开发过程中发现并修复潜在的安全漏洞。本篇文章将深入探讨AppScan 9.0.3.13这一版本以及其中涉及的安全规则18533。 AppScan 9.0.3.13...

    AppScan安全测试漏洞检测工具10.4版本

    **AppScan安全测试漏洞检测工具10.4版本详解** IBM AppScan是一款广泛使用的安全测试工具,主要用于检测Web应用程序中的安全漏洞。它以其强大的扫描功能和全面的安全评估能力,在IT行业中备受推崇。AppScan 10.4...

    安全扫描工具HCL AppScan最新版本10.0.7

    AppScan的核心在于其源码分析能力,允许开发者在软件开发的早期阶段发现并修复潜在的安全漏洞,从而降低风险,提高应用的安全性。 在描述中提到的“规则库28150”是指AppScan包含的预定义安全检查规则数量。这些...

    appscan使用教程

    AppScan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。AppScan的扫描能力,配置向导和详细的报表系统都进行了整合,简化使用,增强用户测试效率,有利于安全防范和保护web应用基础架构。 在商业...

    IBM Security AppScan安装包

    IBM Security AppScan是IBM推出的一款应用安全测试工具,可以帮助开发人员和测试人员发现Web应用程序的安全漏洞并提供详细的修复建议。该工具主要集中在应用安全领域中,包括黑盒测试、灰盒测试、白盒测试、漏洞扫描...

    Appscan网站扫描

    **Appscan**是一款功能强大的自动化Web应用安全扫描工具,主要用于识别Web应用程序中的安全漏洞。它通过模拟攻击者的行为,对目标Web应用程序进行全面的漏洞扫描,帮助开发人员和安全团队识别潜在的安全风险。 ####...

    AppScan-Setup-10.4.0是AppScan软件的一个安装包版本,该版本为AppScan的10.4.0版本

    AppScan是一款常见的Web应用安全测试工具,它支持静态、动态、交互式和开源扫描,可以部署在开发生命周期的每个阶段,用于测试web应用程序、API和移动应用程序,以降低安全漏洞带来的风险。AppScan采用黑盒测试的...

    安全测试漏扫工具_HCL AppScan最新版本_10.0.8(28186)_2022年8月_appscan28150下载

    HCL AppScan是一款知名的安全测试漏扫工具,用于发现并修复应用中的安全漏洞。在本文中,我们将深入探讨HCL AppScan的最新版本10.0.8 (28186)以及与之相关的知识点。 1. **HCL AppScan概述**: HCL AppScan是一款...

    AppScan扫描网站策略

    3. **报告(Reporting)**:测试完成后,AppScan会生成详细的报告,指出哪些页面存在何种类型的安全漏洞,帮助开发者或安全专家快速定位问题。 #### 四、AppScan操作指南 ##### 1. 配置目标网站 首先,需要在...

    安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196

    优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。

    Appscan 安全测试指南

    Appscan 安装使用,创建基本扫描及扫描中遇到的问题。

    IBM测试appscan教程.ppt

    * AppScan 扫描 web 应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。 二、AppScan 安装和许可证安装 * 安装 Rational AppScan 需要遵循系统需求和安装过程。 * 许可证安装可以使用旧格式(.lic)的许可...

    Web安全扫描工具:appscan安装和使用

    7. **扫描**:执行实际的扫描过程,AppScan会自动进行一系列的攻击尝试,以探测安全漏洞。 AppScan的使用不仅可以帮助用户发现常见的安全问题,如SQL注入、跨站脚本(XSS)、缓冲区溢出等,还能自定义扫描策略,...

    IBM Rational AppScan 网站安全检测

    IBM Rational AppScan 是一款强大的静态代码分析工具,主要用于检测Web应用程序的安全漏洞。这款工具广泛应用于软件开发生命周期(SDLC)中,帮助开发者在编码阶段就能发现并修复潜在的安全问题,从而提高应用的安全...

    AppScan 8.7_服务器安全扫描

    - **漏洞识别**:AppScan 8.7 能够识别多种安全漏洞,包括操作系统漏洞、应用漏洞以及配置错误等。 - **动态分析**:支持动态应用安全测试(DAST),在运行时分析应用程序的行为,捕捉潜在的不安全交互。 - **...

Global site tag (gtag.js) - Google Analytics