提供一些appscan漏洞解决方法(来自百度空间)


来自:http://serisboy.iteye.com/blog/1328056提供一些appscan漏洞解决方法(来自百度空间)  此博文包含图片 (2012-08-07 11:42:14)转载▼
标签: appscan 漏洞解决方法 it 分类: 软件测试
来自:http://serisboy.iteye.com/blog/1328056
1.会话标识未更新:登录页面加入以下代码
request.getSession(true).invalidate();//清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期
不是很明白session的机制,高手路过可以指教一下。


2.跨站点请求伪造:
在出错的url加参数sessionid。
response.getWriter().write( "");


如果带参数报ssl错误,使用下面的post方式传值:
response.getWriter().write(
""
);


3.启用不安全HTTP方法
修改web工程中或者服务器web.xml,增加安全配置信息,禁用不必要HTTP方法


/*
PUT
DELETE
HEAD
OPTIONS
TRACE





BASIC



4.已解密登录请求
配置SSL,具体见http://serisboy.iteye.com/admin/blogs/1320231
在web.xml加入如下配置。


SSL
/*


CONFIDENTIAL




5.高速缓存的ssl页面
页面



Java代码 复制代码 收藏代码
java代码
response.setHeader("Pragma", "No-cache");


6.目录列表
配置文件目标拒绝访问。
在conf/web.xml下:

default
org.apache.catalina.servlets.DefaultServlet

debug
0


listings
false

1



把listings对应的value设置为fasle.
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml 中,把
servlet-name改为其它的,再加一下servlet-mapping

default1
org.apache.catalina.servlets.DefaultServlet

debug
0


listings
false

1


default1
/

1.会话标识未更新:登录页面加入以下代码
  1. request.getSession(true).invalidate();//清空session
  2. Cookie cookie = request.getCookies()[0];//获取cookie
  3. cookie.setMaxAge(0);//让cookie过期
不是很明白session的机制,高手路过可以指教一下。

2.跨站点请求伪造:
在出错的url加参数sessionid。
  1. response.getWriter().write( "");

如果带参数报ssl错误,使用下面的post方式传值:
  1. response.getWriter().write(
  2. ""
  3. );

3.启用不安全HTTP方法
  1. 修改web工程中或者服务器web.xml,增加安全配置信息,禁用不必要HTTP方法
  2. /*
  3. PUT
  4. DELETE
  5. HEAD
  6. OPTIONS
  7. TRACE
  8. BASIC

4.已解密登录请求
配置SSL,具体见 http://serisboy.iteye.com/admin/blogs/1320231
在web.xml加入如下配置。
  1. SSL
  2. /*
  3. CONFIDENTIAL

5.高速缓存的ssl页面
  1. 页面
  2. "Pragma" contect="no-cache">

Java代码   
  1. java代码
  2. response.setHeader("Pragma", "No-cache");

6.目录列表
配置文件目标拒绝访问。
在conf/web.xml下:
  1.  default 
  2. class> org.apache.catalina.servlets.DefaultServlet class>
  3. debug
  4.  0 
  5. listings
  6.  false 
  7.  1 

把listings对应的value设置为fasle.
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml 中,把
servlet-name改为其它的,再加一下servlet-mapping
  1. default1
  2. class> org.apache.catalina.servlets.DefaultServlet class>
  3. debug
  4.  0 
  5. listings
  6.  false 
  7.  1 
  8. default1
  9. /

你可能感兴趣的:(.net)