当前位置: 首页> 安全工具> 正文

AppScan高危漏洞的修复案例

1. SQL盲注(SQL注入):

AppScan高危漏洞的修复案例

- 过滤特殊字符

- 使用预编译,避免拼接 SQL

- 对 SQL 执行部分异常进行捕获,避免抛出不同异常而被推测有漏洞

- 如果 AppScan 报错,可以尝试把错误的页面单独反复测试,并且把 AppScan 扫描的线程数改成 1(默认是10)

2. 存储的跨站点脚本(XSS漏洞):

- 对存储的内容进行 XSS 过滤

3. 会话标识未更新:

- JSP的修复方法是在登录页面上加上如下代码:

```java

request.getSession().invalidate(); // 清空 session

Cookie cookie = request.getCookies()[0]; // 获取 cookie

cookie.setMaxAge(0); // 让 cookie 过期

```

- ASP的修复方法是在登录按钮点击后,确认登录前,加入以下代码以清空 SessionId:

```csharp

Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", "")); // 登录判断

Response.Redirect("Default.aspx");

```

4. 启用了不安全的 HTTP 方法:

- 禁用WebDAV功能,这能从根本上解决问题

- 使用 URLSCAN 禁用 OPTIONS 和其他 HTTP 方法,或者只允许 GET/POST/HEAD 方法

- 可以采用三种方法:禁用WebDAV;使用URLSCAN;启用不安全的HTTP方法

5. 已解密的登录请求:

- 解决办法是通过建立过滤器方法,对所有用户输入信息进行清理过滤,从而防止恶意用户导致应用程序执行计划外的任务。

请注意,这些修复案例是基于提供的文本中的建议,实际情况可能需要更详细的分析和特定于应用程序的解决方案。始终建议遵循最佳实践,并咨询安全专家以确保漏洞得到妥善处理。