`
cuker919
  • 浏览: 86836 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

AppScan安全漏洞报告

阅读更多
1.会话cookie 中缺少HttpOnly 属性。
修复任务: 向所有会话cookie 添加“HttpOnly”属性
解决方案,过滤器中,
Java代码 收藏代码
  1. HttpServletResponseresponse2=(HttpServletResponse)response;
  2. //httponly是微软对cookie做的扩展,该值指定Cookie是否可通过客户端脚本访问,
  3. //解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
  4. response2.setHeader("Set-Cookie","name=value;HttpOnly");


2.跨站点请求伪造。修复任务: 拒绝恶意请求。
解决方案,过滤器中
Java代码 收藏代码
  1. //HTTP头设置Referer过滤
  2. Stringreferer=request2.getHeader("Referer");//REFRESH
  3. if(referer!=null&&referer.indexOf(basePath)<0){request2.getRequestDispatcher(request2.getRequestURI()).forward(request2,response);
  4. }



3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"
Html代码 收藏代码
  1. 密&nbsp;&nbsp;码:
  2. <inputname="userinfo.userPwd"type="password"autocomplete="off"/>


4.HTML 注释敏感信息泄露。删除注释信息。

5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。
修复任务: 过滤掉用户输入中的危险字符
Java代码 收藏代码
  1. privateStringfilterDangerString(Stringvalue){
  2. if(value==null){
  3. returnnull;
  4. }
  5. value=value.replaceAll("\\|","");
  6. value=value.replaceAll("&","&amp;");
  7. value=value.replaceAll(";","");
  8. value=value.replaceAll("@","");
  9. value=value.replaceAll("'","");
  10. value=value.replaceAll("\"","");
  11. value=value.replaceAll("\\'","");
  12. value=value.replaceAll("\\\"","");
  13. value=value.replaceAll("<","&lt;");
  14. value=value.replaceAll(">","&gt;");
  15. value=value.replaceAll("\\(","");
  16. value=value.replaceAll("\\)","");
  17. value=value.replaceAll("\\+","");
  18. value=value.replaceAll("\r","");
  19. value=value.replaceAll("\n","");
  20. value=value.replaceAll("script","");
  21. value=value.replaceAll("%27","");
  22. value=value.replaceAll("%22","");
  23. value=value.replaceAll("%3E","");
  24. value=value.replaceAll("%3C","");
  25. value=value.replaceAll("%3D","");
  26. value=value.replaceAll("%2F","");
  27. returnvalue;
  28. }
分享到:
评论

相关推荐

    appscan安全漏洞修复

    针对appscan安全漏洞扫描出的漏洞的一些解放方法。 1.不充分账户封锁 2.会话标识未更新 3.跨站点请求伪造 4.启用了不安全的http方法 5.已解密的登录请求

    AppScan测试报告

    Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及...

    AppScan安全测试总结.docx

    AppScan是IBM公司出的一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。 其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入...

    appscan使用教程

    AppScan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。AppScan的扫描能力,配置向导和详细的报表系统都进行了整合,简化使用,增强用户测试效率,有利于安全防范和保护web应用基础架构。 在商业...

    安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196

    优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。

    IBM Security AppScan安装包

    IBM Security AppScan是IBM推出的一款应用安全测试工具,可以帮助开发人员和测试人员发现Web应用程序的安全漏洞并提供详细的修复建议。该工具主要集中在应用安全领域中,包括黑盒测试、灰盒测试、白盒测试、漏洞扫描...

    AppScan安全测试漏洞检测工具10.4版本

    AppScan具有强大的静态、动态、交互式和开源扫描引擎可以部署在开发生命周期的每个阶段,提供完善的漏洞规则库、漏洞扫描引擎、安全性能扫描、云系统集成、Web应用技术和多种代码语言灯

    Appscan 安全测试指南

    Appscan 安装使用,创建基本扫描及扫描中遇到的问题。

    Appscan网站扫描

    Appscan网站扫描, appscan,安全工具使用步骤,appscan操作步骤

    AppScan8.0

    Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site s cripting)、缓冲区溢出(buffer overflow)及...

    AppScan使用手册.doc

    简单使用AppScan进行漏洞扫描

    appscan9.0.txt

    Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及...

    appscan web安全测试工具

    AppScan是对网站等WEB应用进行安全攻击,通过真刀真枪的攻击,来检查网站是否存在安全漏洞,在使用AppScan的时候,要配置的第一个就是要检查的网站的地址,配置了以后,AppScan就会利用“探索”技术去发现这个网站...

    AppScan7.8注册文件

    静态分析安全性测试,以从源头上找出安全漏洞 面向所有常见 Web 应用漏洞(包括 WASC 威胁类别,如 SQL 注入、跨站点脚本和缓冲区溢出)的自动化 Web 应用扫描和测试,以及简化补救工作的智能化修订建议 网站嵌入式...

    IBM APPSCAN安全测试工具基础

    AppScan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。AppScan的扫描能力,配置向导和详细的报表系统都进行了整合,简化使用,增强用户效率,有利于安全防范和保护web应用基础架构。

    IBM AppScan安全测试工具 版本9.0.3.6(附有破解文件LicenseProvider.dll)可放心下载

    IBM® Security AppScan® 能提高 Web 应用安全性和移动应用安全性,改善应用安全项目...通过在部署之前扫描 Web 和移动应用,检测Web应用安全性和移动应用安全性, AppScan 帮助您识别安全漏洞并生成报告和修复建议。

    appscan扫描工具8.0x破解版(绝对可用)

    Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及...

    漏洞扫描工具appscan

    对于一些网络安全管理人员、或者运维工程师等人来说,拥有趁手而实用性强的安全测试软件是很有必要的,Appscan就是这样一款软件。它可以支持多种分析方法,不同的分析方法适用于不同的分析要求和条件,可分析范围很...

    AppScan开始使用手册

    AppScan 是专门面向 Web ...利用 Rational AppScan,应用程序开发团队在项目交付前,可以对所开发的应用程序与服务进行安全缺陷的扫描,自动化检测 Web 应用的安全漏洞,从网站开发的起始阶段就扫除 Web 应用安全漏洞

    appscan网页BUG测试使用手册.pdf

    用以检查网页安全漏洞的工具appscan

Global site tag (gtag.js) - Google Analytics