appscan扫描 通过框架钓鱼、链接注入(便于跨站请求伪造)、跨站点脚本编制等问题

最新推荐文章于 2024-10-05 11:16:54 发布
原创 最新推荐文章于 2024-10-05 11:16:54 发布 · 1.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

项目使用AppScan进行安全扫描,发现了框架钓鱼、链接注入(利于CSRF)和跨站点脚本(XSS)等问题。初步解决是依据测试报告进行用户输入的危险字符清理,但初次过滤未能解决问题。通过学习XSS攻击知识,了解到攻击的变种,并逐步完善过滤条件,最终成功避免了这些问题。以下是实施的过滤条件。

手上的一个项目最近用appscan扫描测试。遇到了几个中高问题:

  • 通过框架钓鱼
  • 链接注入(便于跨站请求伪造)
  • 跨站点脚本编制

看了下测试报告给出的原因:未对用户输入正确执行危险字符清理
修改建议是针对xss漏洞进行修复。

最开始处理的时候,参照预防XSS攻击,(参数/响应值)特殊字符过滤这篇博文做了过滤,再扫描还是有这几个问题。

后面又看了篇博文XSS攻击常识及常见的XSS攻击脚本汇总,了解到了还有各种变种攻击。

经过多次扫描,发现一个就加一个过滤条件。终于没再报这几个问题了。
下面附上我的过滤条件。

public boolean checkXssAttack(String str) {
   
   
	String[] regexArr = {
   
   "<(\\s)*(no)?script", "(no)?script(\\s)*>", "<(\\s)*iframe", "iframe(\\s)*>", "<(\\s)*img",
	 "img(\\s)*>", "src(\\s)*=", "<(\\s)*a", "a(\\s)*>", "href(\\s)*=",
	 "style(\\s)*=", "function\\(", "eval\\(", "expression\\(", "javascript:",
	 "vbscript:", "view-source:", "window[\\s\\S]*location", "window\\.", "\\.location",
	 "document[\\s\\S]*cookie"
最低0.47元/天 解锁文章
IBM Security Appscan漏洞--通过框架钓鱼
YouXu
03-16 6695
通过框架钓鱼
AppScan安全扫描记录遇到的一些问题
qq_41345150的博客
09-26 2051
AppScan安全扫描记录遇到的一些问题sql注入&跨站脚本编制&通过框架钓鱼&链接注入(便于跨站请求伪造)缺少跨帧脚本编制防御 X-Frame-Options缺少“Content-Security-Policy”头缺少 HTTP Strict-Transport-Security 头缺少“X-Content-Type-Options”头缺少“X-XSS-Protecti...
【web安全】——CSRF跨站请求伪造
最新发布
wxh的博客
10-05 1642
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求
IBM Security Appscan漏洞--链接注入(便于跨站请求伪造
YouXu
03-16 5021
•可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 •可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 •可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件
链接注入(便于跨站请求伪造
日拱一卒无有尽,功不唐捐终入海
11-25 1万+
安全风险: 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件 可能原因 未对用户输入正确执行危险字符清理 技术描述 “链接注入”是修
IBM Security Appscan漏洞--存储的跨站脚本编制
YouXu
03-16 9384
未对用户输入正确执行危险字符清理 ,添加XSS过滤器
AppScan Standard扫描漏洞处理方法
hongweibing1的专栏
04-28 2868
系统漏洞处理方法 应XX要求,要对系统的安全漏洞进行处理解决。扫描工具为IBM Security AppScan Standard,本次主要要解决工具扫描出来的高危和中危级别的漏洞。          未解决时扫描系统的结果如下图所示: 处理后扫描结果如下: 大致满足了客户提出的要求,下面给出处理的方法   解决方式:           1、对于
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
CRSF 跨站请求伪造
livening的专栏
09-11 1655
" name="GUID" />   /// 创建Toke protected string CreateToken() { string gid = Guid.NewGuid().ToString() + "123456"; string desString = EncryptedString(gid, DE
跨站请求伪造保护
little_monkey1223的博客
08-05 1855
跨站请求伪造保护的方法
跨站请求伪造.zip
05-28
压缩包内分为笔记部分和环境搭建部分: 笔记部分:CSRF介绍、Cookie机制、检测CSRF漏洞存在、CSRF防御 环境搭建部分:bank文件夹中存放笔记中网站搭建源码、构造的get、post页面源码。 解压密码:456.com
教你如何绕过防止注入链接
05-15
教你如何绕过防止注入链接教你如何绕过防止注入链接
(六)跨站请求伪造
weixin_30689307的博客
06-12 185
01漏洞描述 HTTP的无状态性,导致Web应用程序必须使用会话机制来识别用户。一旦与Web站建立连接(访问、登录),用户通常会分配到一个Cookie,随后的请求,都会带上这个Cookie,这样Web站就很容易分辨请求来自哪个用户,该修改哪个用户的数据。如果从第三方发起对当前站请求,该请求也会带上当前站的Cookie。正是这是这个缺陷,导致了CSRF的产生,利用这个漏洞可以劫...
伪造html页面,跨站请求伪造漏洞验证方法
weixin_30067913的博客
06-03 638
CSS布局HTML小编今天和大家分享帮助解决漏洞:CSRF跨站请CSS布局HTML小编今天和大家分享伪造,十分下面是CSRF的常见特性: 依靠用户标识危害网站 利用网站对用户标识的信任 欺骗用户的浏览器发送HTTP请CSS布局HTML小编今天和大家分享给目标站 另外可以通过IMG标签会触发一个GET请CSS布局HTML小编今天和大家分享,可以利用它来实现CSRF攻击。 CSRF攻击依赖下面的假...
防止 跨站请求伪造(CSRF)
阿鹏的博客
06-05 1527
CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 **CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。**
自动填写未对密码字段禁用的html属性,解决数据标准及质量AppScan(测试)安全性问题相关方法...
weixin_31813357的博客
06-02 443
1. SQL注入文件写入(需要用户验证)解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。建议过滤出所有以下字符:[1] |(竖线符号)[2] &(&符号)[3];(分号)[4] $(...
跨站请求伪造 跨站脚本编制 通过框架钓鱼漏洞
javaee_ssh的专栏
07-22 1万+
主要是通过在url或参数中添加脚本如: 1、URL中添加alert(1) 2、参数value=。 添加一个过滤器对特殊字符进行拦截
AppScan扫描建议
热门推荐
沉底的石头
09-10 3万+
1.1        AppScan扫描建议 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值