文档章节

appscan问题整理

 放牧少年
发布于 2016/09/23 16:46
字数 321
阅读 70
收藏 0

appscan安全问题整改总结

随着网络的发展,安全问题成为网站的一个重要评估标准,appcan作为传统的安全扫描软件被多家网络公司,银行,企业所青睐。这篇文章就对安全问题做一个相应的总结。

提供一些网络找到的整改方法,有的很有用。

1.跨站点请求伪造

该问题是其他的用户借用浏览器中的session进行跨站点操作,总之就是有可能做出出格的事情,威胁整个系统。

操作方法:加拦截器

因为系统是检验session的,登陆控制的action必须要过滤,看request中的session和服务器中的session是否一致

package com.security.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class SessionFilter implements Filter{

	@Override
	public void destroy() {
		
	}

	@Override
	public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain) throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) servletrequest;
		 HttpServletResponse response = (HttpServletResponse) servletresponse;
		String clientSessionId = servletrequest.getParameter("ssid");
		String serverSessionId = request.getSession().getId();
		if (serverSessionId.equals(clientSessionId)) {
		 filterchain.doFilter(request, response);
		} else {
			servletresponse.getWriter().print("<font size=6 color=red>对不起,您的请求非法,系统拒绝响应!</font>");
		}
	}
	@Override
	public void init(FilterConfig arg0) throws ServletException {
		
	}

}

web.xml

<filter>
        <filter-name>SessionFilter</filter-name>
        <filter-class>com.security.filter.SessionFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>SessionFilter</filter-name>
        <url-pattern>/logon.do</url-pattern>
		<url-pattern>/member.do</url-pattern>
    </filter-mapping>

 

© 著作权归作者所有

上一篇: maven+spring web
下一篇: maven--学习
粉丝 0
博文 31
码字总数 17279
作品 0
浦东
程序员
私信 提问
【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)

最近一直刷新AppScan的下限,对于Appscan报出的中危漏洞“启用不安全的HTTP方法”。分析了其扫描机制,以及处理方法和绕开方法。如果不耐烦看分析过程,请直接跳到文章最后看处理方法。 0. 漏...

黑帽子
2013/06/09
708
0
J2EE安全——关于SQL注入、XSS、跨站点请求伪造的漏洞利用完整例子

我是个j2ee程序员,最近开始处理一些安全相关的问题,但没有安全方面的经验。 希望大家能推荐本书或者几篇文章,可以完整的展示SQL注入、XSS、跨站点请求伪造这三个问题的完整利用过程——再...

itwriter
2015/11/09
749
5
ThreadFix 1.1 发布,软件漏洞管理系统

ThreadFix 是软件漏洞聚合和管理系统, 可让你减少修复软件漏洞所花费的时间。它从动态、静态、手动测试的数据中导入结果,然后提供一个集中的视图来展示软件安全缺陷。 ThreadFix 1.1 发布了...

oschina
2013/03/27
2.8K
0
Jfinal修复会话标识未更新漏洞

用JFinal框架写的,AppScan扫出来修复会话标识未更新漏洞,请假各位大神如何解决啊。。。

栋11
2015/06/27
814
2
Asp.Net MVC Https设置

1. IIS设置 1.1 创建SSL证书    点击左侧菜单栏顶部,点击“功能视图”里的“服务器证书”: 点击“创建自动签名证书”创建自动签名证书: 1.2 设置SSL证书 点开网站,在“功能视图”里点击...

yscit
02/20
0
0

没有更多内容

加载失败,请刷新页面

加载更多

让《强化学习(第2版)》架起一座通往强化学习经典知识宝库的桥梁

上交大计算科学与工程系俞凯教授,5分钟口述讲解,带你快速认识了解年度重磅图书《强化学习(第二版)》! 在 AlphaGo战胜李世石之后,AlphaZero以其完全凭借自我学习超越人类在各种棋类游戏...

博文视点Bv
17分钟前
5
0
TLA7-EVM开发板的处理器、NOR FLASH、DDR3

TLA7-EVM开发板是一款由广州创龙基于Xilinx Artix-7系列FPGA自主研发的核心板+底板方式的开发板,可快速评估FPGA性能。核心板尺寸仅70mm*50mm,底板采用沉金无铅工艺的6层板设计,专业的PCB...

Tronlong创龙
26分钟前
4
0
UUID的变种-有序

为了解决UUID无序的问题,NHibernate在其主键生成方式中提供了Comb算法(combined guid/timestamp)。保留GUID的10个字节,用另6个字节表示GUID生成的时间(DateTime)。 /// <summary> //...

Canaan_
26分钟前
4
0
Netty学习(6)——通道间数据传输

1. FileChannel实现通道间的数据传输 在Java NIO中,如果两个通道中有一个是FileChannel,那你可以直接将数据从一个channel传输到另外一个channel。 transferFrom() FileChannel的transferF...

江左煤郎
30分钟前
3
0
AngularDOM操作

gtandsn
31分钟前
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部