51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1665|回复: 0
打印 上一主题 下一主题

AppScan安全漏洞解决方案

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2018-4-25 16:40:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
1.会话cookie 中缺少HttpOnly 属性。  
修复任务: 向所有会话cookie 添加“HttpOnly”属性
  解决方案,过滤器中,

Java代码  收藏代码
HttpServletResponse response2 = (HttpServletResponse)response;  
//httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问,   
//解决用户的cookie可能被盗用的问题,减少跨站脚本攻击  
response2.setHeader( "Set-Cookie", "name=value; HttpOnly");   


2.跨站点请求伪造。修复任务: 拒绝恶意请求。  
解决方案,过滤器中

Java代码  收藏代码
  1. //HTTP 头设置 Referer过滤  
  2. String referer = request2.getHeader("Referer");   //REFRESH  
  3. if(referer!=null && referer.indexOf(basePath)<0){            request2.getRequestDispatcher(request2.getRequestURI()).forward(request2, response);  
  4. }  

复制代码

3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"

Html代码  收藏代码
密&nbsp;&nbsp;码:  
<input name="userinfo.userPwd" type="password"  autocomplete = "off"/>  


4.HTML 注释敏感信息泄露。删除注释信息。

5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。修复任务: 过滤掉用户
输入中的危险字符

Java代码  收藏代码
  1. private String filterDangerString(String value) {  
  2.         if (value == null) {  
  3.             return null;  
  4.         }  
  5.         value = value.replaceAll("\\|", "");  
  6.   
  7.         value = value.replaceAll("&", "&");  
  8.   
  9.         value = value.replaceAll(";", "");  
  10.   
  11.         value = value.replaceAll("@", "");  
  12.   
  13.         value = value.replaceAll("'", "");  
  14.   
  15.         value = value.replaceAll("\"", "");  
  16.   
  17.         value = value.replaceAll("\\'", "");  
  18.   
  19.         value = value.replaceAll("\\\"", "");  
  20.   
  21.         value = value.replaceAll("<", "<");  
  22.   
  23.         value = value.replaceAll(">", ">");  
  24.   
  25.         value = value.replaceAll("\\(", "");  
  26.   
  27.         value = value.replaceAll("\\)", "");  
  28.   
  29.         value = value.replaceAll("\\+", "");  
  30.   
  31.         value = value.replaceAll("\r", "");  
  32.   
  33.         value = value.replaceAll("\n", "");  
  34.   
  35.         value = value.replaceAll("script", "");  
  36.          
  37.         value = value.replaceAll("%27", "");  
  38.         value = value.replaceAll("%22", "");  
  39.         value = value.replaceAll("%3E", "");  
  40.         value = value.replaceAll("%3C", "");  
  41.         value = value.replaceAll("%3D", "");  
  42.         value = value.replaceAll("%2F", "");  
  43.         return value;  
  44.     }  
复制代码


分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-22 22:51 , Processed in 0.061915 second(s), 23 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表