常见安全漏洞修复方法

1.    会话 cookie 中缺少 HttpOnly 属性

添加<session-config>
<session-timeout>30</session-timeout>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>

<%
   request.getSession().invalidate();//清空session
    Cookie cookie =null;
   if(request.getCookies()!=null)
   cookie = request.getCookies()[0];//获取cookie 
   if(cookie!=null)
   cookie.setMaxAge(0);//让cookie过期
	response.setHeader( "Set-Cookie", "name=value; HttpOnly");  
	response.setHeader( "Set-Cookie", "JSESSIONID="+request.getSession().getId()+"; HttpOnly");  

	request.getSession(true);//生成新会话
 %>

2.    会话标识未更新

目前是为了安全测试屏蔽了登录页面添加验证码引起的，如果验证码不屏蔽就不会出现此问题。

3.    直接访问管理页面

扫描的时候存在，是因为你们的策略和我们的包命名冲突，默认遇到admin就实行你们的策略，但是实质系统中这个问题不存在

4.    Autocomplete HTML Attribute Not Disabled for Password Field

在input中添加 autocomplete= "off"

5.    已解密的登录请求

目前是为了安全测试屏蔽了登录页面添加验证码引起的，如果验证码不屏蔽就不会出现此问题。