AppScan扫描“盲注”解决方法及“思路”。。。
来源:互联网 发布:儿童学画画软件 编辑:程序博客网 时间:2024/06/05 22:46
手上的项目快上生产了,最近一直在做项目的bug修改,蛋疼的是团队中木有软件测试人员,只能自己来了,,,/(ㄒoㄒ)/~~
用AppScan扫描项目的某几个模块总是一直会出现sql盲注的问题(sql注入的一种),返回状态码501,看了下appscan的修订建议:过滤特殊字符。。那么问题来了,在后台所有有关数据提交到数据库以及和数据库有交互的地方我都做了特殊字符的过滤,另外sql语句都是用的预编译,并无拼接sql的情况。。so我迷茫了。。迷茫了一个礼拜。。。。。。。。。
先是根据有sql盲注的链接地址去查找后台是否有上面两种问题没做到,发现没有。。。迷茫。。。。。。。。。。。
然后又根据返回状态码501去百度了下哪些情况会导致页面报错501的情况,查到说是提交了PUT / DELETE的请求方式,起始我再日志中还确实发现了有put的请求过来,但是盲注发生的时间点对不上,我想难道log中有的PUT请求没捕捉到???于是写了个监听器去检测项目中是否有收到PUT类型的请求,有则立即打印下来。。结果跑一遍下来还真有几个,然后去查看log信息,时间点和地址信息都与盲注的报错信息对不上。。迷茫。。。。。。。。。。。。。
。。。。。。。
然后考虑了无数长时间,几乎这个模块的所有代码都看了一遍,,,,,头大了。。。。。。。。。
。。。。。。。
昨天晚上无意中想到,是不是AppScan软件会误报。
于是跑去群里问了一圈,详细的我也听不懂,只知道就是会有误报的情况存在,概率还不小。。。此时心里有点小激动了卧槽。。。。。。。。。。。
立马百度,找了好久找到两篇关于AppScan误报的IBM官方文档(有同样情况的同学请注意了):
Common causes for a "Blind SQL Injection" false positive in AppScan Enterprise
Troubleshooting False Positives in AppScan Enterprise
两篇文档大概意思就是AppScan会影响服务器的负载/状态等,所有是很有可能出现误报的。验证方法
1:把错误的页面单独反复测试
2:把AppScan扫描的线程数改成1(默认10)
若以上木有问题出现的话基本就是误报了。。。。。。。
试了无数次---误报。。。。。。。
。。我还能说啥好呢。。。。。快疯了--------------------------------
- AppScan扫描“盲注”解决方法及“思路”。。。
- Security Appscan Standard 漏洞扫描及补漏洞
- AppScan安全扫描工具之安装及配置GlassBox
- AppScan扫描建议
- AppScan扫描建议
- Appscan cookie登录扫描
- AppScan扫描工具
- 使用AppScan进行扫描
- ZOJ1217解决方法及思路
- asp.net里面用appscan扫描部分漏洞与解决方法(一)
- Rational AppScan 扫描大型网站
- Rational AppScan 扫描大型网站
- AppScan 自动扫描如何运作
- 安全测试---AppScan扫描工具
- AppScan扫描时发生"AppScan内存需…
- AppScan--图解web扫描工具IBM Security AppScan Standard
- AppScan系列——web安全测试---AppScan扫描工具
- 如何使用AppScan扫描大型网站
- 公钥和私钥解说
- HashMap的工作原理
- HTML 加载CSS文件和javascript的思考
- windows常见adb调试错误
- 移动开源项目周报1208
- AppScan扫描“盲注”解决方法及“思路”。。。
- [Python 与 炒股] TuShare 分析篇
- 关于android中Videoview的选择
- linux sed命令删除特殊字符(含斜线、冒号等转义字符)
- 提供“以图搜图”完整解决方案,博云视觉让各行业都可以方便地“以图搜图”
- CentOS6.5安装vncserver实现图形界面操作【阿里云ECS安装桌面成功!】
- zmq 学习总结
- Linux下调整屏幕分辨率
- win10 的TortoiseGit安装与配置