AppScan安全漏洞报告
1.会话cookie 中缺少HttpOnly 属性。
修复任务:向所有会话cookie 添加“HttpOnly”属性
解决⽅案,过滤器中,
Java代码
1. HttpServletResponse response2 = (HttpServletResponse)response;
2. //httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问,
3. //解决⽤户的cookie可能被盗⽤的问题,减少跨站脚本攻击
4. response2.setHeader( "Set-Cookie", "name=value; HttpOnly");
2.跨站点请求伪造。修复任务:拒绝恶意请求。
解决⽅案,过滤器中
Java代码
1. //HTTP 头设置 Referer过滤
2. String referer = Header("Referer");  //REFRESH
3. if(referer!=null && referer.indexOf(basePath)<0)
{            RequestURI()).forward(request2, response);
4. }
3.Autocomplete HTML Attribute Not Disabled for Password Field
修复任务: Correctly set the "autocomplete" attribute to "off"
Html代码
1. 密  ;码:
2. <input name="userinfo.userPwd" type="password"  autocomplete = "off"/>
4.HTML 注释敏感信息泄露。删除注释信息。
5.跨站点脚本编制,SQL 盲注,通过框架钓鱼,链接注⼊(便于跨站请求伪造)。修复任务:过滤掉⽤户输⼊中的危险字符Java代码
1. private String filterDangerString(String value) {
2.        if (value == null) {
3.            return null;
4.        }
5.        value = placeAll("\\|", "");
6.
7.        value = placeAll("&", "&");
8.
9.        value = placeAll(";", "");
10.
11.        value = placeAll("@", "");
12.
13.        value = placeAll("'", "");
14.
15.        value = placeAll("\"", "");
16.
17.        value = placeAll("\\'", "");
18.
19.        value = placeAll("\\\"", "");
20.
21.        value = placeAll("<", "<");
22.
23.        value = placeAll(">", ">");
24.
25.        value = placeAll("\\(", "");
26.
27.        value = placeAll("\\)", "");
28.replaceall()
29.        value = placeAll("\\+", "");
30.
31.        value = placeAll("\r", "");
32.
33.        value = placeAll("\n", "");
34.
35.        value = placeAll("script", "");
36.
37.        value = placeAll("%27", "");
38.        value = placeAll("%22", "");
39.        value = placeAll("%3E", "");
40.        value = placeAll("%3C", "");
41.        value = placeAll("%3D", "");
42.        value = placeAll("%2F", "");
43.        return value;
44.    }

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。