AppScan安全漏洞报告

太过爱你忘了你带给我的痛 2022-04-14 04:25 377阅读 0赞

1.会话cookie 中缺少HttpOnly 属性。
修复任务：向所有会话cookie 添加“HttpOnly”属性
解决方案，过滤器中，

Java代码收藏代码

HttpServletResponseresponse2=(HttpServletResponse)response;
//httponly是微软对cookie做的扩展,该值指定Cookie是否可通过客户端脚本访问,
//解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
response2.setHeader(“Set-Cookie”,”name=value;HttpOnly”);

2.跨站点请求伪造。修复任务：拒绝恶意请求。
解决方案，过滤器中

Java代码收藏代码

//HTTP头设置Referer过滤
Stringreferer=request2.getHeader(“Referer”);//REFRESH
if(referer!=null&&referer.indexOf(basePath)<0){request2.getRequestDispatcher(request2.getRequestURI()).forward(request2,response);
}

3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务： Correctly set the “autocomplete” attribute to “off”

Html代码收藏代码

密码：

**4.HTML 注释敏感信息泄露。删除注释信息。

5.跨站点脚本编制，SQL 盲注，通过框架钓鱼，链接注入（便于跨站请求伪造）。**修复任务：过滤掉用户输入中的危险字符

Java代码收藏代码

privateStringfilterDangerString(Stringvalue){
if(value==null){
returnnull;
}
value=value.replaceAll(“\\|”,””);
value=value.replaceAll(“&”,”&”);
value=value.replaceAll(“;”,””);
value=value.replaceAll(“@”,””);
value=value.replaceAll(“‘“,””);
value=value.replaceAll(“\“”,””);
value=value.replaceAll(“\\‘“,””);
value=value.replaceAll(“\\\“”,””);
value=value.replaceAll(“<”,”<”);
value=value.replaceAll(“>”,”>”);
value=value.replaceAll(“\\(“,””);
value=value.replaceAll(“\\)”,””);
value=value.replaceAll(“\\+”,””);
value=value.replaceAll(“\r”,””);
value=value.replaceAll(“\n”,””);
value=value.replaceAll(“script”,””);
value=value.replaceAll(“%27”,””);
value=value.replaceAll(“%22”,””);
value=value.replaceAll(“%3E”,””);
value=value.replaceAll(“%3C”,””);
value=value.replaceAll(“%3D”,””);
value=value.replaceAll(“%2F”,””);
returnvalue;
}

发表评论取消回复

表情：

评论列表（有 0 条评论，377人围观）

还没有评论，来说两句吧...

相关阅读

相关 fortify扫描安全漏洞，fastjson安全漏洞

astjson安全漏洞，升级版本后，引发的问题。使用fastjson将json字符串转换成对象 jsonStr：json格式的字符串 (Map<Strin...

朱雀/ 2024年04月18日 20:38/ 0 赞/ 138 阅读

相关 AppScan漏洞风险处理

漏洞问题以及修复 1、“Content-Security-Policy”头缺失或不安全修复方案 2、“X-Content-Type-Option

绝地灬酷狼/ 2024年03月16日 20:22/ 0 赞/ 118 阅读

相关 AppScan（2）：导出AppScan测试报告

作者 | 綦枫出品 | TestBean软件测试 -------------------- 1.1 测试报告导出在执行完测试之后，我们可以通过点击页面上方的“

妖狐艹你老母/ 2023年02月11日 04:36/ 0 赞/ 64 阅读

相关 AppScan（1）：安全扫描工具AppScan的基本使用

在我们安装好AppScan这款软件之后呢，启动页面就是这样子啦： ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shado

系统管理员/ 2023年02月11日 02:00/ 0 赞/ 82 阅读

相关 web安全扫描工具--Appscan使用

Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估。访问转帖链接：[http:/

朱雀/ 2022年12月23日 06:43/ 0 赞/ 228 阅读

相关 AppScan安装

环境：vm12+win7 + AppScan9.0.36 安装包地址链接:https://pan.baidu.com/s/1huneCYC 密码:kfu7 注意操作系统需要

今天药忘吃喽~/ 2022年05月29日 23:52/ 0 赞/ 304 阅读

相关 IBM Appscan9.0.3安全扫描简单安装、使用以及高危漏洞修复（转载）

转载地址：[https://blog.csdn.net/u013294278/article/details/78293799][https_blog.csdn.net_u01

小咪咪/ 2022年05月17日 01:28/ 0 赞/ 294 阅读

相关 AppScan安全漏洞报告

1.会话cookie 中缺少HttpOnly 属性。修复任务：向所有会话cookie 添加“HttpOnly”属性解决方案，过滤器中， Java代码 ![

太过爱你忘了你带给我的痛/ 2022年04月14日 04:25/ 0 赞/ 378 阅读

相关 AppScan安全漏洞报告

1.会话cookie 中缺少HttpOnly 属性。修复任务：向所有会话cookie 添加“HttpOnly”属性解决方案，过滤器中， Java代码 ![

向右看齐/ 2022年04月14日 04:25/ 0 赞/ 326 阅读

相关 AppScan安全漏洞报告

1.会话cookie 中缺少HttpOnly 属性。修复任务：向所有会话cookie 添加“HttpOnly”属性解决方案，过滤器中， Java代码

客官°小女子只卖身不卖艺/ 2022年01月29日 07:34/ 0 赞/ 377 阅读