appscan 安全漏洞修复 -

serisboy

浏览: 169950 次
性别:
来自: 广州

最近访客更多访客>>

sufangsuzhuang

wzy4510609

deepbluex58

hlsps

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

appscan 安全漏洞修复

博客分类：

java

security appscan 安全漏洞修复

1.会话标识未更新：登录页面加入以下代码

    request.getSession(true).invalidate();//清空session
    Cookie cookie = request.getCookies()[0];//获取cookie
    cookie.setMaxAge(0);//让cookie过期

不是很明白session的机制，高手路过可以指教一下。
2.跨站点请求伪造：
在出错的url加参数sessionid。

response.getWriter().write(	"<script>parent.location.href='dbase/admin/loginJsp.action?sessionId="+sessionId+"'</script>");

如果带参数报ssl错误，使用下面的post方式传值：

response.getWriter().write(
				"<script language=\"javascript\"> " +
				"document.write(\"<form action=dbase/admin/loginJsp.action method=post name=formx1 style='display:none'>\");" +
				"document.write(\"<input type=hidden name=name value='"+sessionId+"'\");" +
				"document.write(\"</form>\");" +
				"document.formx1.submit();" +
				"</script>"
				);

3.启用不安全HTTP方法

修改web工程中或者服务器web.xml,增加安全配置信息，禁用不必要HTTP方法
  <security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
      <http-method>DELETE</http-method>  
      <http-method>HEAD</http-method>  
      <http-method>OPTIONS</http-method>  
      <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
 </security-constraint>  
 <login-config>  
   <auth-method>BASIC</auth-method>  
 </login-config>

4.已解密登录请求
配置SSL，具体见http://serisboy.iteye.com/admin/blogs/1320231
在web.xml加入如下配置。

<security-constraint>  
       <web-resource-collection >  
              <web-resource-name >SSL</web-resource-name>  
              <url-pattern>/*</url-pattern>  
       </web-resource-collection> 
       <user-data-constraint>  
              <transport-guarantee>CONFIDENTIAL</transportguarantee>  
       </user-data-constraint>  
</security-constraint>

5.高速缓存的ssl页面

页面
<meta http-equiv="Pragma" contect="no-cache">

java代码
response.setHeader("Pragma", "No-cache");

6.目录列表
配置文件目标拒绝访问。
在conf/web.xml下:

<servlet> 
<servlet-name> default </servlet-name> 
<servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class> 
<init-param> 
<param-name> debug </param-name> 
<param-value> 0 </param-value> 
</init-param> 
<init-param> 
<param-name> listings </param-name> 
<param-value> false </param-value> 
</init-param> 
<load-on-startup> 1 </load-on-startup> 
</servlet>

把listings对应的value设置为fasle.
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml 中,把
servlet-name改为其它的,再加一下servlet-mapping

<servlet> 
<servlet-name> default1 </servlet-name> 
<servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class> 
<init-param> 
<param-name> debug </param-name> 
<param-value> 0 </param-value> 
</init-param> 
<init-param> 
<param-name> listings </param-name> 
<param-value> false </param-value> 
</init-param> 
<load-on-startup> 1 </load-on-startup> 
</servlet> 
<servlet-mapping> 
<servlet-name> default1 </servlet-name> 
        <url-pattern> / </url-pattern> 
<servlet-mapping>

分享到：

如何打WEB项目的升级补丁包 | href的post方式提交数据

2011-12-27 18:05
浏览 13716
评论(5)
分类:互联网
查看更多

5 楼 hongye612430 2014-10-13

http://serisboy.iteye.com/admin/blogs/1320231 看不了

4 楼 ssrsmhz 2014-01-17

serisboy 写道

blackbat 写道

请问楼主，这个问题：3.启用不安全HTTP方法
我按照这种方式改了，但是问题依然存在啊，而且还要我输入admin的登陆用户和密码。

请问你那边解决了么谢谢~~

你要配置ssl

3 楼 serisboy 2012-08-26

blackbat 写道

你要配置ssl

2 楼 blackbat 2012-08-23

1 楼 aa00aa00 2012-07-24

哥们这文章不错,谢谢了

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

appscan 安全漏洞修复

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

appscan 安全漏洞修复

评论

发表评论

相关推荐

Hadoop集群，不重启增加机器

spring jdbcTemplate

struts2+spring实现简单用户登录注册

JfreeChart

Java中用内存映射处理大文件

myeclipse6.5破解

如何打WEB项目的升级补丁包

tomcat6配置https

tomcat下禁用不安全的http方法

JAVA经典算法40题

properties--java web项目自定义配置文件路径

判断时间段内文件是否更新

某公司的面试题--递归拿到所有子类的id

最近访客更多访客>>