AppScan安全漏洞报告
来源:互联网 发布:网络变压器加工 编辑:程序博客网 时间:2024/05/18 17:44
1.会话cookie 中缺少HttpOnly 属性。
修复任务: 向所有会话cookie 添加“HttpOnly”属性
解决方案,过滤器中,
2.跨站点请求伪造。修复任务: 拒绝恶意请求。
解决方案,过滤器中
3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"
4.HTML 注释敏感信息泄露。删除注释信息。
5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。修复任务: 过滤掉用户输入中的危险字符
修复任务: 向所有会话cookie 添加“HttpOnly”属性
解决方案,过滤器中,
Java代码 
- HttpServletResponse response2 = (HttpServletResponse)response;
- //httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问,
- //解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
- response2.setHeader( "Set-Cookie", "name=value; HttpOnly");
2.跨站点请求伪造。修复任务: 拒绝恶意请求。
解决方案,过滤器中
Java代码
- //HTTP 头设置 Referer过滤
- String referer = request2.getHeader("Referer"); //REFRESH
- if(referer!=null && referer.indexOf(basePath)<0){ request2.getRequestDispatcher(request2.getRequestURI()).forward(request2, response);
- }
3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"
Html代码
- 密 码:
- <input name="userinfo.userPwd" type="password" autocomplete = "off"/>
4.HTML 注释敏感信息泄露。删除注释信息。
5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。修复任务: 过滤掉用户输入中的危险字符
Java代码
- private String filterDangerString(String value) {
- if (value == null) {
- return null;
- }
- value = value.replaceAll("\\|", "");
- value = value.replaceAll("&", "&");
- value = value.replaceAll(";", "");
- value = value.replaceAll("@", "");
- value = value.replaceAll("'", "");
- value = value.replaceAll("\"", "");
- value = value.replaceAll("\\'", "");
- value = value.replaceAll("\\\"", "");
- value = value.replaceAll("<", "<");
- value = value.replaceAll(">", ">");
- value = value.replaceAll("\\(", "");
- value = value.replaceAll("\\)", "");
- value = value.replaceAll("\\+", "");
- value = value.replaceAll("\r", "");
- value = value.replaceAll("\n", "");
- value = value.replaceAll("script", "");
- value = value.replaceAll("%27", "");
- value = value.replaceAll("%22", "");
- value = value.replaceAll("%3E", "");
- value = value.replaceAll("%3C", "");
- value = value.replaceAll("%3D", "");
- value = value.replaceAll("%2F", "");
- return value;
- }
- AppScan安全漏洞报告
- AppScan安全漏洞报告
- AppScan安全漏洞报告
- AppScan安全漏洞报告
- AppScan安全漏洞报告
- Appscan 安全漏洞修复
- appscan 安全漏洞修复
- AppScan安全漏洞解决方案
- Web 安全漏洞检测利器:Rational AppScan
- AppScan中的安全漏洞类型及解决方案
- 使用 Rational AppScan 检测 Web 服务安全漏洞
- 区块链开源安全漏洞分析报告
- AppScan
- AppScan
- AppScan
- appscan
- appscan
- IBM AppScan 安全扫描报告中部分问题的解决办法
- USB协议[转]
- 在线查看图片
- C++ Primer 学习笔记十四 —— 重载操作符与转换
- Quartz cron表达式分析 (版本2.1.7)
- Java读取文件内容
- AppScan安全漏洞报告
- 《设计模式》笔记:状态模式
- 利用Hibernate从持久化类生成数据表
- 用 VC++建立 Windows 服务程序
- 挑战题:字符串转换成整数 “456”转换456
- 程序员学习能力提升三要素
- spring batch(二):核心部分(1):配置Spring batch
- 正确理解ThreadLocal
- 記錄執行一條一句需要多長時間:oracle dbms_utility.get_time函数
