51Testing软件测试论坛

标题: 请问版主yuanyongjie,你用过AppScan,请问你是否对出现的各类问题作过总结? [打印本页]

作者: gaoy_b    时间: 2008-11-12 17:32
标题: 请问版主yuanyongjie,你用过AppScan,请问你是否对出现的各类问题作过总结?
请问版主yuanyongjie,你用过AppScan,请问你是否对出现的各类问题作过总结?
详细地说:严重的红色等级的问题例如:Blind SQL injection, HTTP Referer Header SQL Injection, Http User-Agent Header SQL Injection, Login Page SQL Injection,Login Page SQL Injection,Login Error messages Credential Enumeration等问题产生的根源以及这些问题的有效的解决办法是什么?比如SQL盲注入和SQL注入是在传递参数过程中没有对输入框做严格的检验,那末HTTP Referer Header SQL Injection, Http User-Agent Header SQL Injection是怎样产生的那?又怎样避免那?
作者: ruanyongjie    时间: 2008-11-13 10:04
回答第一个问题“我用AppScan扫描我们的应用系统后,对以下3种问题有些疑问,请帮帮忙!
HTTP Referer Header SQL Injection,
Http User-Agent Header SQL Injection,
这两类问题SQL是怎样注入的?怎样解决这两种SQL注入?”

目前关于sql injection目前网络上面能见到的方法都是加强数据库配置
在web程序中对参数进行严格限制来进行,这些方法对程序员和系统管理员有一定程序要求,而且碰到做虚拟主机业务的,就会防不胜防。
isapi_rewrite for iis 和apache mod_rewrite 是一种URL重写工具,可以
将输入的URL进行按要求转换,目前rewrite的最大用处就是在网站中将动态的页面
转换成静态的url,以便google之类的搜索引擎能搜到,增加排名。google里面有
很多的这种应用的例子,rewrite的相关信息也去google找.
利用rewrite模块的功能,能够很方便的实现对URL参数进行过滤,从而实现
主机级别的sql injection攻击防范。
rewrite对URL的匹配是一种正则表达式匹配,功能非常强大。
以过滤asp+sqlserver环境下的sql injection为例子,对某些特殊字符进行过滤
如:()';
则在httpd.ini中书写规则
RewriteRule [^?]+\?.*[;'\(\)].* /warning.txt
上面的规则将匹配URL的参数部分,如果参数中包含;'(),则将该URL重写,将/warning.txt的
内容返回给客户端,IIS log中也只会留下访问warning.txt的200信息。需要过滤得单个字符都可以直接加在[;'\(\)]中。
匹配2个%D
作者: ruanyongjie    时间: 2008-11-13 10:06
还有以后问题发一遍就够了,不要重复的发。其实我昨天晚上就看到你的问题了,只是在整理自己的思路,来回答你的问题,以便你更能理解.
标题中“yuanyongjie” 我的 id 是 “ruanyongjie”  y  改为 r
作者: ruanyongjie    时间: 2008-11-13 10:19
第二个问题 “Login Error messages Credential Enumeration
这是什么问题,怎么产生的?又怎样避免这种漏洞哪?”

这个是登录操作过程中发生传递值或参数的错误信息, 具体如何解决,需要跟踪一下这个功能模块的代码,看看操作工程中传递的是什么,然后再去判断,如何解决;
作者: gaoy_b    时间: 2008-11-13 14:07
标题: 谢谢以上的回答!
进一步的理解以上的答案我还需要再看看,再试一试!

问题发了2遍,其实不是一个意思。
第一篇的 我是问你对于1)使用AppScan ,在使用上是否还有什么说明没有(对特殊情况),我对使用上,在想要达到的测试目的上还存在疑问(虽然我也看过你的别的关于AppScan的帖子)。2)对于扫描的结果,我不想只是简简单单的给开发人员一个测试报告,我更想有一个报告,阐述各种严重安全漏洞产生的根源,出现的原理,找出避免出现此类问题的方法。
如你有这方面的总结,这将给所有初次使用AppScan的同仁很大的帮助,我在做这件事,可惜还有不清楚的地方,无法完成。

我的第二个帖子,就我目前的存在的问题向你请教,根本不是重复第一个问题,请理解我想解决问题的心情。

对于你名字的写错,实在是Sorry!
作者: ruanyongjie    时间: 2008-11-13 14:51
没关系,能理解, 以后有比较急的问题觉我可以回答的话,你可以发消息给我, 呵呵呵
作者: juzi4003    时间: 2009-6-29 14:20
学习
作者: felix87    时间: 2010-11-11 10:53
学习这是我用Appscan扫描出来得到的结果[attach]66254[/attach]
对于这些扫描出来的漏洞,是每一个都做手动验证吗?自己的技术水平有限,对于有的漏洞也不知道要怎么去利用,也是第一次用Appscan这个软件做扫描。




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2