提供一些appscan漏洞解决方法（来自百度空间）

来自：http://serisboy.iteye.com/blog/1328056提供一些appscan漏洞解决方法（来自百度空间）  此博文包含图片 (2012-08-07 11:42:14)转载▼
标签： appscan 漏洞解决方法 it 分类： 软件测试
来自：http://serisboy.iteye.com/blog/1328056
1.会话标识未更新：登录页面加入以下代码
request.getSession(true).invalidate();//清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期
不是很明白session的机制，高手路过可以指教一下。


2.跨站点请求伪造：
在出错的url加参数sessionid。
response.getWriter().write( "");


如果带参数报ssl错误，使用下面的post方式传值：
response.getWriter().write(
""
);


3.启用不安全HTTP方法
修改web工程中或者服务器web.xml,增加安全配置信息，禁用不必要HTTP方法


/*
PUT
DELETE
HEAD
OPTIONS
TRACE





BASIC



4.已解密登录请求
配置SSL，具体见http://serisboy.iteye.com/admin/blogs/1320231
在web.xml加入如下配置。


SSL
/*


CONFIDENTIAL




5.高速缓存的ssl页面
页面



Java代码 复制代码 收藏代码
java代码
response.setHeader("Pragma", "No-cache");


6.目录列表
配置文件目标拒绝访问。
在conf/web.xml下:

default
org.apache.catalina.servlets.DefaultServlet

debug
0


listings
false

1



把listings对应的value设置为fasle.
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml 中,把
servlet-name改为其它的,再加一下servlet-mapping

default1
org.apache.catalina.servlets.DefaultServlet

debug
0


listings
false

1


default1
/

1.会话标识未更新：登录页面加入以下代码

1. request.getSession(true).invalidate();//清空session
2. Cookie cookie = request.getCookies()[0];//获取cookie
3. cookie.setMaxAge(0);//让cookie过期

不是很明白session的机制，高手路过可以指教一下。

2.跨站点请求伪造：
在出错的url加参数sessionid。

1. response.getWriter().write( "");

如果带参数报ssl错误，使用下面的post方式传值：

1. response.getWriter().write(
2. ""
3. );

3.启用不安全HTTP方法

1. 修改web工程中或者服务器web.xml,增加安全配置信息，禁用不必要HTTP方法
4. /*
5. PUT
6. DELETE
7. HEAD
8. OPTIONS
9. TRACE
15. BASIC

4.已解密登录请求
配置SSL，具体见 http://serisboy.iteye.com/admin/blogs/1320231
在web.xml加入如下配置。

3. SSL
4. /*
7. CONFIDENTIAL

5.高速缓存的ssl页面

1. 页面
2. "Pragma" contect="no-cache">

Java代码   

1. java代码
2. response.setHeader("Pragma", "No-cache");

6.目录列表
配置文件目标拒绝访问。
在conf/web.xml下:

2.  default 
3. class> org.apache.catalina.servlets.DefaultServlet class>
5. debug
6.  0 
9. listings
10.  false 
12.  1 

把listings对应的value设置为fasle.
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml 中,把
servlet-name改为其它的,再加一下servlet-mapping

2. default1
3. class> org.apache.catalina.servlets.DefaultServlet class>
5. debug
6.  0 
9. listings
10.  false 
12.  1 
15. default1
16. /