`
serisboy
  • 浏览: 171970 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

appscan 安全漏洞修复

    博客分类:
  • java
阅读更多
1.会话标识未更新:登录页面加入以下代码
    request.getSession(true).invalidate();//清空session
    Cookie cookie = request.getCookies()[0];//获取cookie
    cookie.setMaxAge(0);//让cookie过期

不是很明白session的机制,高手路过可以指教一下。
2.跨站点请求伪造:
在出错的url加参数sessionid。
response.getWriter().write(	"<script>parent.location.href='dbase/admin/loginJsp.action?sessionId="+sessionId+"'</script>");

如果带参数报ssl错误,使用下面的post方式传值:
response.getWriter().write(
				"<script language=\"javascript\"> " +
				"document.write(\"<form action=dbase/admin/loginJsp.action method=post name=formx1 style='display:none'>\");" +
				"document.write(\"<input type=hidden name=name value='"+sessionId+"'\");" +
				"document.write(\"</form>\");" +
				"document.formx1.submit();" +
				"</script>"
				);

3.启用不安全HTTP方法
修改web工程中或者服务器web.xml,增加安全配置信息,禁用不必要HTTP方法
  <security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
      <http-method>DELETE</http-method>  
      <http-method>HEAD</http-method>  
      <http-method>OPTIONS</http-method>  
      <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
 </security-constraint>  
 <login-config>  
   <auth-method>BASIC</auth-method>  
 </login-config>

4.已解密登录请求
配置SSL,具体见http://serisboy.iteye.com/admin/blogs/1320231
在web.xml加入如下配置。
<security-constraint>  
       <web-resource-collection >  
              <web-resource-name >SSL</web-resource-name>  
              <url-pattern>/*</url-pattern>  
       </web-resource-collection> 
       <user-data-constraint>  
              <transport-guarantee>CONFIDENTIAL</transportguarantee>  
       </user-data-constraint>  
</security-constraint> 

5.高速缓存的ssl页面
页面
<meta http-equiv="Pragma" contect="no-cache">

java代码
response.setHeader("Pragma", "No-cache");

6.目录列表
配置文件目标拒绝访问。
在conf/web.xml下:
<servlet> 
<servlet-name> default </servlet-name> 
<servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class> 
<init-param> 
<param-name> debug </param-name> 
<param-value> 0 </param-value> 
</init-param> 
<init-param> 
<param-name> listings </param-name> 
<param-value> false </param-value> 
</init-param> 
<load-on-startup> 1 </load-on-startup> 
</servlet> 

把listings对应的value设置为fasle.
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml   中,把
servlet-name改为其它的,再加一下servlet-mapping
<servlet> 
<servlet-name> default1 </servlet-name> 
<servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class> 
<init-param> 
<param-name> debug </param-name> 
<param-value> 0 </param-value> 
</init-param> 
<init-param> 
<param-name> listings </param-name> 
<param-value> false </param-value> 
</init-param> 
<load-on-startup> 1 </load-on-startup> 
</servlet> 
<servlet-mapping> 
<servlet-name> default1 </servlet-name> 
        <url-pattern> / </url-pattern> 
<servlet-mapping> 



分享到:
评论
5 楼 hongye612430 2014-10-13  
http://serisboy.iteye.com/admin/blogs/1320231 看不了
4 楼 ssrsmhz 2014-01-17  
serisboy 写道
blackbat 写道
请问楼主,这个问题:3.启用不安全HTTP方法
我按照这种方式改了,但是问题依然存在啊,而且还要我输入admin的登陆用户和密码。

请问你那边解决了么 谢谢~~


你要配置ssl

3 楼 serisboy 2012-08-26  
blackbat 写道
请问楼主,这个问题:3.启用不安全HTTP方法
我按照这种方式改了,但是问题依然存在啊,而且还要我输入admin的登陆用户和密码。

请问你那边解决了么 谢谢~~


你要配置ssl
2 楼 blackbat 2012-08-23  
请问楼主,这个问题:3.启用不安全HTTP方法
我按照这种方式改了,但是问题依然存在啊,而且还要我输入admin的登陆用户和密码。

请问你那边解决了么 谢谢~~

1 楼 aa00aa00 2012-07-24  
哥们这文章不错,谢谢了

相关推荐

    appscan安全漏洞修复

    IBM AppScan是一款广泛使用的静态代码分析工具,用于检测Web应用程序中的安全漏洞。本篇文章将详细探讨AppScan扫描出的五类常见安全漏洞,并提供相应的修复策略。 1. 不充分账户封锁:当系统对失败的登录尝试或恶意...

    AppScan安全测试总结.docx

    总的来说,AppScan是Web应用安全测试领域不可或缺的工具,它通过自动化和定制化的测试策略,帮助企业发现并修复各种安全漏洞,提升了Web应用的安全水平。在使用过程中,了解并熟练掌握其各项功能和操作,是确保测试...

    安全扫描工具AppScan10

    IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞。AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...

    javaWeb安全验证漏洞修复总结

    使用专业的安全扫描工具,如IBM AppScan,可以帮助开发者发现并修复潜在的安全漏洞。同时,持续的代码审查和安全培训也是保障应用安全的关键。通过不断学习和实践,我们可以构建更加安全的JavaWeb环境。

    AppScan安全测试漏洞检测工具10.4版本

    **AppScan安全测试漏洞检测工具10.4版本详解** IBM AppScan是一款广泛使用的安全测试工具,主要用于检测Web应用程序中的安全漏洞。它以其强大的扫描功能和全面的安全评估能力,在IT行业中备受推崇。AppScan 10.4...

    安全验证漏洞修复总结

    安全验证漏洞修复总结 本文档是对 EMA 服务管理平台二期扩容安全验收漏洞修复总结的总结报告,涵盖了 WEB 安全、SQL 注入、盲注、会话标识未更新、已解密登录请求等多个安全验证漏洞的修复总结。 WEB 安全 WEB ...

    appscan9.0.3.13+安全规则18533.rar

    IBM AppScan是一款广泛应用于企业级应用安全测试的工具,它能够帮助开发者在软件开发过程中发现并修复潜在的安全漏洞。本篇文章将深入探讨AppScan 9.0.3.13这一版本以及其中涉及的安全规则18533。 AppScan 9.0.3.13...

    IBM Security AppScan安装包

    IBM Security AppScan是IBM推出的一款应用安全测试工具,可以帮助开发人员和测试人员发现Web应用程序的安全漏洞并提供详细的修复建议。该工具主要集中在应用安全领域中,包括黑盒测试、灰盒测试、白盒测试、漏洞扫描...

    javaWeb安全验证漏洞修复总结.doc

    Java Web 安全验证漏洞修复总结是指在 Java Web 开发中常见的安全漏洞的修复和防范方法。本文将详细介绍 Java Web 安全验证漏洞的类型、成因、风险和解决方案。 SQL 注入和盲注 SQL 注入和盲注是 Java Web 开发中...

    Appscan网站扫描

    **Appscan**是一款功能强大的自动化Web应用安全扫描工具,主要用于识别Web应用程序中的安全漏洞。它通过模拟攻击者的行为,对目标Web应用程序进行全面的漏洞扫描,帮助开发人员和安全团队识别潜在的安全风险。 ####...

    安全扫描工具HCL AppScan最新版本10.0.7

    AppScan的核心在于其源码分析能力,允许开发者在软件开发的早期阶段发现并修复潜在的安全漏洞,从而降低风险,提高应用的安全性。 在描述中提到的“规则库28150”是指AppScan包含的预定义安全检查规则数量。这些...

    IBM AppScan 软件解决方案资料

    4. "web安全验收漏洞修复总结【java项目心血结晶】.rar":这可能是一个专门针对Java Web项目的安全验收总结,包含了常见Web安全漏洞的实例,以及如何使用AppScan检测和修复这些漏洞的方法。用户可以从中学习到Web...

    安全测试漏扫工具_HCL AppScan最新版本_10.0.8(28186)_2022年8月_appscan28150下载

    HCL AppScan是一款知名的安全测试漏扫工具,用于发现并修复应用中的安全漏洞。在本文中,我们将深入探讨HCL AppScan的最新版本10.0.8 (28186)以及与之相关的知识点。 1. **HCL AppScan概述**: HCL AppScan是一款...

    安全测试漏扫工具-HCL AppScan-10.5.0(28368)-2024年4月-下载

    已自测安装可用。 # 安装方法 首次安装好后,不要运行程序的情况下: 只需要将“补丁”中两个dll文件,放到安装后的软件的根目录中即可使用! # 版本历史 ## 2024年4月3日:10.5.0 ### HCL AppScan ...### 修复和

    IBM测试appscan教程.ppt

    * AppScan 扫描 web 应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。 二、AppScan 安装和许可证安装 * 安装 Rational AppScan 需要遵循系统需求和安装过程。 * 许可证安装可以使用旧格式(.lic)的许可...

    IBM Rational AppScan 网站安全检测

    IBM Rational AppScan 是一款强大的静态代码分析工具,主要用于检测Web应用程序的安全漏洞。这款工具广泛应用于软件开发生命周期(SDLC)中,帮助开发者在编码阶段就能发现并修复潜在的安全问题,从而提高应用的安全...

    安全检测及分析神器——AppScan10.0版本 window版本

    AppScan 10.0版本是专为Windows操作系统设计的,它集成了先进的技术来帮助开发者、安全专家和企业识别并修复Web应用程序中的安全漏洞。 首先,AppScan的核心功能之一是Web漏洞扫描。它能够自动扫描Web应用程序,...

    IBM Rational AppScan介绍

    - **开发阶段**:在软件开发生命周期的早期阶段使用AppScan,可以在代码上线前发现并修复安全漏洞。 - **集成测试**:在集成测试过程中使用AppScan,确保不同模块之间的交互不会引入新的安全风险。 - **第三方组件...

    IBM AppScan安全测试工具 版本9.0.3.6(附有破解文件LicenseProvider.dll)可放心下载

    IBM® Security AppScan® 能提高 Web 应用安全性和移动应用安全性,改善应用安全项目...通过在部署之前扫描 Web 和移动应用,检测Web应用安全性和移动应用安全性, AppScan 帮助您识别安全漏洞并生成报告和修复建议。

    AppScan10.0

    它通过自动化扫描,能对网站的所有URL进行深入分析,查找并报告可能存在的各种安全漏洞,帮助开发者和安全团队在代码发布前发现潜在的威胁,确保Web应用的安全性。 **一、AppScan 10.0的主要功能** 1. **自动漏洞...

Global site tag (gtag.js) - Google Analytics