具体工作情景上篇Blog说了,此处不多赘言,写这篇,是因为后来我想起来这个报告的信息量很大,值得学习一下报告本身的一些技术内容,写这个blog就是这个个学习的过程。
这个报告由AppScan8.6扫描得出,主要分为以下问题类型:
修订建议
n Review possible solutions for hazardous character injectionn 发送敏感信息时,始终使用 SSL 和 POST(主体)参数。n 除去 HTML 注释中的敏感信息n 除去 Web 站点中的电子邮件地址n 除去 Web 站点中的内部 IP 地址n 除去服务器中的测试脚本n 除去客户端中的业务逻辑和安全逻辑n 将“autocomplete”属性正确设置为“off”n 为 Web 服务器或 Web 应用程序下载相关的安全补丁n 向所有会话 cookie 添加“HttpOnly”属性n 验证参数值是否在其预计范围和类型内。不要输出调试错误消息和异常咨询n SQL 盲注n SQL 注入n 跨站点脚本编制n 使用 SQL 注入的认证旁路n 已解密的登录请求n 链接注入(便于跨站请求伪造)n 通过框架钓鱼n 发现错误模式n 会话 cookie 中缺少 HttpOnly 属性n 自动填写未对密码字段禁用的 HTML 属性n HTML 注释敏感信息泄露n 发现电子邮件地址模式n 发现可能的服务器路径泄露模式n 发现内部 IP 泄露模式n 检测到应用程序测试脚本n 客户端()Cookie 引用n 应用程序错误待续,改天些吧,这两天太折腾,眼睛疼得受不了了。
APPScan的测试报告后面附录的介绍内容实在太多了,写起来太费劲。应用还有一个白盒代码分析报告。主要问题分类如下:
涉及后端的跨站脚本
单例成员字段可能会导致的读写竞争情况 密码管理渠道上的不严密操作 代码修正:对NULL对象调用equals方法 不安全的随机数 HTTPResponse分割(splitting) J2EE坏实践:把不可序列化的对象保存在Session里 本地文件路径操作----------------------------------------------
有评论说让我说说怎么解决,其实黑盒部分的修订建议就是咨询问题的解决方案,至于白盒这些问题本身说的就是很具体的代码问题了。