AppScan安全漏洞报告

1.会话cookie 中缺少HttpOnly 属性。 
修复任务: 向所有会话cookie 添加“HttpOnly”属性
  解决方案,过滤器中,
Java代码   收藏代码
  1. HttpServletResponse response2 = (HttpServletResponse)response;  
  2. //httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问,   
  3. //解决用户的cookie可能被盗用的问题,减少跨站脚本攻击  
  4. response2.setHeader( "Set-Cookie""name=value; HttpOnly");   


2.跨站点请求伪造。修复任务: 拒绝恶意请求。 
解决方案,过滤器中
Java代码   收藏代码
  1. //HTTP 头设置 Referer过滤  
  2. String referer = request2.getHeader("Referer");   //REFRESH  
  3. if(referer!=null && referer.indexOf(basePath)<0){            request2.getRequestDispatcher(request2.getRequestURI()).forward(request2, response);  
  4. }  



3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"
Html代码   收藏代码
  1. 密&nbsp;&nbsp;码:  
  2. <input name="userinfo.userPwd" type="password"  autocomplete = "off"/>  


4.HTML 注释敏感信息泄露。删除注释信息。

5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注入(便于跨站请求伪造)。
修复任务: 过滤掉用户输入中的危险字符
Java代码   收藏代码
  1. private String filterDangerString(String value) {  
  2.         if (value == null) {  
  3.             return null;  
  4.         }  
  5.         value = value.replaceAll("\\|""");  
  6.   
  7.         value = value.replaceAll("&""&amp;");  
  8.   
  9.         value = value.replaceAll(";""");  
  10.   
  11.         value = value.replaceAll("@""");  
  12.   
  13.         value = value.replaceAll("'""");  
  14.   
  15.         value = value.replaceAll("\"""");  
  16.   
  17.         value = value.replaceAll("\\'""");  
  18.   
  19.         value = value.replaceAll("\\\"""");  
  20.   
  21.         value = value.replaceAll("<""&lt;");  
  22.   
  23.         value = value.replaceAll(">""&gt;");  
  24.   
  25.         value = value.replaceAll("\\(""");  
  26.   
  27.         value = value.replaceAll("\\)""");  
  28.   
  29.         value = value.replaceAll("\\+""");  
  30.   
  31.         value = value.replaceAll("\r""");  
  32.   
  33.         value = value.replaceAll("\n""");  
  34.   
  35.         value = value.replaceAll("script""");  
  36.           
  37.         value = value.replaceAll("%27""");  
  38.         value = value.replaceAll("%22""");  
  39.         value = value.replaceAll("%3E""");  
  40.         value = value.replaceAll("%3C""");  
  41.         value = value.replaceAll("%3D""");  
  42.         value = value.replaceAll("%2F""");  
  43.         return value;  
  44.     }  

你可能感兴趣的:(AppScan安全漏洞报告)