1.会话标识未更新:登录页面加入以下代码
request.getSession(true).invalidate();//清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期
不是很明白session的机制,高手路过可以指教一下。
2.跨站点请求伪造:
在出错的url加参数sessionid。
response.getWriter().write( "<script>parent.location.href='dbase/admin/loginJsp.action?sessionId="+sessionId+"'</script>");
如果带参数报ssl错误,使用下面的post方式传值:
response.getWriter().write(
"<script language=\"javascript\"> " +
"document.write(\"<form action=dbase/admin/loginJsp.action method=post name=formx1 style='display:none'>\");" +
"document.write(\"<input type=hidden name=name value='"+sessionId+"'\");" +
"document.write(\"</form>\");" +
"document.formx1.submit();" +
"</script>"
);
3.启用不安全HTTP方法
修改web工程中或者服务器web.xml,增加安全配置信息,禁用不必要HTTP方法
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
4.已解密登录请求
配置SSL,具体见
http://serisboy.iteye.com/admin/blogs/1320231
在web.xml加入如下配置。
<security-constraint>
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transportguarantee>
</user-data-constraint>
</security-constraint>
5.高速缓存的ssl页面
页面
<meta http-equiv="Pragma" contect="no-cache">
java代码
response.setHeader("Pragma", "No-cache");
6.目录列表
配置文件目标拒绝访问。
在conf/web.xml下:
<servlet>
<servlet-name> default </servlet-name>
<servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class>
<init-param>
<param-name> debug </param-name>
<param-value> 0 </param-value>
</init-param>
<init-param>
<param-name> listings </param-name>
<param-value> false </param-value>
</init-param>
<load-on-startup> 1 </load-on-startup>
</servlet>
把listings对应的value设置为fasle.
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml 中,把
servlet-name改为其它的,再加一下servlet-mapping
<servlet>
<servlet-name> default1 </servlet-name>
<servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class>
<init-param>
<param-name> debug </param-name>
<param-value> 0 </param-value>
</init-param>
<init-param>
<param-name> listings </param-name>
<param-value> false </param-value>
</init-param>
<load-on-startup> 1 </load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name> default1 </servlet-name>
<url-pattern> / </url-pattern>
<servlet-mapping>
分享到:
相关推荐
IBM AppScan是一款广泛使用的静态代码分析工具,用于检测Web应用程序中的安全漏洞。本篇文章将详细探讨AppScan扫描出的五类常见安全漏洞,并提供相应的修复策略。 1. 不充分账户封锁:当系统对失败的登录尝试或恶意...
总的来说,AppScan是Web应用安全测试领域不可或缺的工具,它通过自动化和定制化的测试策略,帮助企业发现并修复各种安全漏洞,提升了Web应用的安全水平。在使用过程中,了解并熟练掌握其各项功能和操作,是确保测试...
IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞。AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...
使用专业的安全扫描工具,如IBM AppScan,可以帮助开发者发现并修复潜在的安全漏洞。同时,持续的代码审查和安全培训也是保障应用安全的关键。通过不断学习和实践,我们可以构建更加安全的JavaWeb环境。
**AppScan安全测试漏洞检测工具10.4版本详解** IBM AppScan是一款广泛使用的安全测试工具,主要用于检测Web应用程序中的安全漏洞。它以其强大的扫描功能和全面的安全评估能力,在IT行业中备受推崇。AppScan 10.4...
安全验证漏洞修复总结 本文档是对 EMA 服务管理平台二期扩容安全验收漏洞修复总结的总结报告,涵盖了 WEB 安全、SQL 注入、盲注、会话标识未更新、已解密登录请求等多个安全验证漏洞的修复总结。 WEB 安全 WEB ...
IBM AppScan是一款广泛应用于企业级应用安全测试的工具,它能够帮助开发者在软件开发过程中发现并修复潜在的安全漏洞。本篇文章将深入探讨AppScan 9.0.3.13这一版本以及其中涉及的安全规则18533。 AppScan 9.0.3.13...
IBM Security AppScan是IBM推出的一款应用安全测试工具,可以帮助开发人员和测试人员发现Web应用程序的安全漏洞并提供详细的修复建议。该工具主要集中在应用安全领域中,包括黑盒测试、灰盒测试、白盒测试、漏洞扫描...
Java Web 安全验证漏洞修复总结是指在 Java Web 开发中常见的安全漏洞的修复和防范方法。本文将详细介绍 Java Web 安全验证漏洞的类型、成因、风险和解决方案。 SQL 注入和盲注 SQL 注入和盲注是 Java Web 开发中...
**Appscan**是一款功能强大的自动化Web应用安全扫描工具,主要用于识别Web应用程序中的安全漏洞。它通过模拟攻击者的行为,对目标Web应用程序进行全面的漏洞扫描,帮助开发人员和安全团队识别潜在的安全风险。 ####...
AppScan的核心在于其源码分析能力,允许开发者在软件开发的早期阶段发现并修复潜在的安全漏洞,从而降低风险,提高应用的安全性。 在描述中提到的“规则库28150”是指AppScan包含的预定义安全检查规则数量。这些...
4. "web安全验收漏洞修复总结【java项目心血结晶】.rar":这可能是一个专门针对Java Web项目的安全验收总结,包含了常见Web安全漏洞的实例,以及如何使用AppScan检测和修复这些漏洞的方法。用户可以从中学习到Web...
HCL AppScan是一款知名的安全测试漏扫工具,用于发现并修复应用中的安全漏洞。在本文中,我们将深入探讨HCL AppScan的最新版本10.0.8 (28186)以及与之相关的知识点。 1. **HCL AppScan概述**: HCL AppScan是一款...
* AppScan 扫描 web 应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。 二、AppScan 安装和许可证安装 * 安装 Rational AppScan 需要遵循系统需求和安装过程。 * 许可证安装可以使用旧格式(.lic)的许可...
IBM Rational AppScan 是一款强大的静态代码分析工具,主要用于检测Web应用程序的安全漏洞。这款工具广泛应用于软件开发生命周期(SDLC)中,帮助开发者在编码阶段就能发现并修复潜在的安全问题,从而提高应用的安全...
AppScan 10.0版本是专为Windows操作系统设计的,它集成了先进的技术来帮助开发者、安全专家和企业识别并修复Web应用程序中的安全漏洞。 首先,AppScan的核心功能之一是Web漏洞扫描。它能够自动扫描Web应用程序,...
- **开发阶段**:在软件开发生命周期的早期阶段使用AppScan,可以在代码上线前发现并修复安全漏洞。 - **集成测试**:在集成测试过程中使用AppScan,确保不同模块之间的交互不会引入新的安全风险。 - **第三方组件...
IBM® Security AppScan® 能提高 Web 应用安全性和移动应用安全性,改善应用安全项目...通过在部署之前扫描 Web 和移动应用,检测Web应用安全性和移动应用安全性, AppScan 帮助您识别安全漏洞并生成报告和修复建议。
它通过自动化扫描,能对网站的所有URL进行深入分析,查找并报告可能存在的各种安全漏洞,帮助开发者和安全团队在代码发布前发现潜在的威胁,确保Web应用的安全性。 **一、AppScan 10.0的主要功能** 1. **自动漏洞...
IBM AppScan是一款强大的静态应用程序安全测试工具,主要用于发现Web应用程序的安全漏洞。它通过分析源代码或二进制文件,检查潜在的威胁,如SQL注入、跨站脚本(XSS)、路径遍历等,帮助企业及开发者在软件发布前...