appscan问题修改

1.会话标识未更新：登录页面加入以下代码 

request.getSession(true).invalidate();//清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期

不是很明白session的机制，高手路过可以指教一下。 
2.跨站点请求伪造： 
在出错的url加参数sessionid。 

response.getWriter().write( "parent.location.href='dbase/admin/loginJsp.action?sessionId="</span>+sessionId+<span class="string" style="color:#0000FF;">"'");

如果带参数报ssl错误，使用下面的post方式传值： 

response.getWriter().write(
                " " +
                "document.write(\"\");" +
                "document.write(\"+sessionId+"'\");" +
                "document.write(\"\");" +
                "document.formx1.submit();" +
                ""
                );

3.启用不安全HTTP方法 

修改web工程中或者服务器web.xml,增加安全配置信息，禁用不必要HTTP方法


      /*
      PUT
      DELETE
      HEAD
      OPTIONS
      TRACE





   BASIC

4.已解密登录请求 
配置SSL，具体见http://serisboy.iteye.com/admin/blogs/1320231 
在web.xml加入如下配置。 

              SSL
              /*


              CONFIDENTIAL

5.高速缓存的ssl页面 

页面
"Pragma" contect="no-cache">

 

java代码
response.setHeader("Pragma", "No-cache");

6.目录列表 
配置文件目标拒绝访问。 
在conf/web.xml下: 

 default
class> org.apache.catalina.servlets.DefaultServlet class>

 debug
 0


 listings
 false

 1

把listings对应的value设置为fasle. 
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml   中,把 
servlet-name改为其它的,再加一下servlet-mapping 

 default1
class> org.apache.catalina.servlets.DefaultServlet class>

 debug
 0


 listings
 false

 1


 default1
         /