1.会话cookie 中缺少HttpOnly 属性。
修复任务: 向所有会话cookie 添加“HttpOnly”属性
解决方案,过滤器中,
HttpServletResponse response2 = (HttpServletResponse)response;
//httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问,
//解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
response2.setHeader( "Set-Cookie", "name=value; HttpOnly");
2.跨站点请求伪造。修复任务: 拒绝恶意请求。
解决方案,过滤器中
//HTTP 头设置 Referer过滤
String referer = request2.getHeader("Referer"); //REFRESH
if(referer!=null && referer.indexOf(basePath)<0){
request2.getRequestDispatcher(request2.getRequestURI()).forward(request2, response);
}
3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"
密 码:
<input name="userinfo.userPwd" type="password" autocomplete = "off"/>
4.HTML 注释敏感信息泄露。删除注释信息。
5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。修复任务: 过滤掉用户输入中的危险字符
private String filterDangerString(String value) {
if (value == null) {
return null;
}
value = value.replaceAll("\\|", "");
value = value.replaceAll("&", "&");
value = value.replaceAll(";", "");
value = value.replaceAll("@", "");
value = value.replaceAll("'", "");
value = value.replaceAll("\"", "");
value = value.replaceAll("\\'", "");
value = value.replaceAll("\\\"", "");
value = value.replaceAll("<", "<");
value = value.replaceAll(">", ">");
value = value.replaceAll("\\(", "");
value = value.replaceAll("\\)", "");
value = value.replaceAll("\\+", "");
value = value.replaceAll("\r", "");
value = value.replaceAll("\n", "");
value = value.replaceAll("script", "");
value = value.replaceAll("%27", "");
value = value.replaceAll("%22", "");
value = value.replaceAll("%3E", "");
value = value.replaceAll("%3C", "");
value = value.replaceAll("%3D", "");
value = value.replaceAll("%2F", "");
return value;
}
- 大小: 28.9 KB
- 大小: 26.2 KB
分享到:
相关推荐
IBM Rational AppScan 介绍,这是个我本人对appsacn研究使用后在公司范围内做的一个分享报告,特分享给行业内同样适用appscan做互联网安全的朋友。 AppScan是一个很好的安全扫描工具,能很好的测试出XSS、SQL注入、...
IBM Rational AppScan Enterprise Edition 7.7.654 part5
著名漏洞扫描工具IBM Rational AppScan 7.8.0.2中文 带注册机.7z.003
这是IBM Rational AppScan7.8.0.2-简体中文、破解、升级补丁包,以及破解说明,从网上搜集,现共享出来,共有14个文件,下载到同一个目录文件夹进行解压即可
IBM Rational AppScan Enterprise Edition 7.7.654 安装程序、破解文件及注册机 可升级(已测试) 分七个部分,请分别下载然后放到同一文件夹中解压
AppScan用户指南 博文链接:https://zhengdl126.iteye.com/blog/990738
IBM Rational AppScan Enterprise Edition 7.7.654 part7
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
这是IBM Rational AppScan7.8.0.2-简体中文、破解、升级补丁包,以及破解说明,从网上搜集,现共享出来,共有14个文件,下载到同一个目录文件夹进行解压即可
IBM Rational AppScan Enterprise Edition 7.7.654 part3
IBM Rational AppScan Enterprise Edition 7.7.654 part4
IBM Rational AppScan Enterprise Edition 7.7.654 part6
著名漏洞扫描工具IBM Rational AppScan 7.8.0.2中文带注册机.7z.001 总共分为5个分卷
1.运行patch.exe,点击Patch,可能会提示找不到engine_control.dll,手动定位至$(InstallDir)\IBM\Rational AppScan\engine_control.dll 2.运行keygen.exe,点击Generate,会在当前目录下生成license.lic 3.拷贝...
著名漏洞扫描工具IBM Rational AppScan 7.8.0.2中文带注册机.7z.001 总共分为5个分卷
著名漏洞扫描工具IBM Rational AppScan 7.8.0.2中文 带注册机.7z.004