appscan-安全扫描(测试)问题修复

最新推荐文章于 2025-03-06 19:48:03 发布
最新推荐文章于 2025-03-06 19:48:03 发布
阅读量1k 收藏 10
点赞数 11
文章标签: 安全 python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/twobun/article/details/136171818
版权

sql注入
// 全局添加ExceptionHandler处理,
@ExceptionHandler({Exception.class})
// 修改代码中数据exceptpiton信息的地方

queryKeywords
// 可以考虑修改queryKeywords等 的字段名,或者修改为post请求

缺少Secure,缺少SameSite

https://blog.youkuaiyun.com/guo15890025019/article/details/123071441

proxy_cookie_path / "/; httponly; secure; SameSite=Lax; Secure";

// 设置为None 关闭SameSite
proxy_cookie_path / "/; httponly; secure; SameSite=None; Secure";

检测到 RC4 密码套件、检测到 SHA-1 密码套件,密码套件相关
在nginx的nginx.conf 文件server下加入:

ssl_ciphers ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE:!SHA-1;

主机允许从任何域进行flash访问
前端打包去掉这个文件


日志文件泄漏

修改响应状态码为500
image.png

api不当资产管理

对api进行加密,geoserver进行加密

https://10.1.78.13:38091/geoserver/drain_chengdu/ows/nonexistingurl?service=WFS&version=1.0.0&request=GetFeature&typename=v_2_drain_model_solution_max_deep&srsname=EPSG:4326&outputFormat=application/json

https://build.geoserver.org/geoserver/2.23.x/ext-latest/ 下载的文件放入webapps/geoserver/WEB-INF/lib/ 然后重启geoserver
https://www.cnblogs.com/defineconst/p/13884616.html

api成批加密
spring:
  jackson:
    serialization:
      # 某些类对象无法序列化的时候,是否报错
      fail_on_empty_beans: true
    deserialization:
       # json对象中有不存在的属性时候,是否报错
      fail_on_unknown_properties: true

CORS 策略根据任意初始头进行设置
add_header 'Access-Control-Allow-Origin' 'youer.domain';

较老的tls版本

禁用TLS 1.0: 在SSL配置块中,找到 ssl_protocols 指令,并将其设置为只允许更安全的TLS版本,例如TLS 1.1、TLS 1.2和/或TLS 1.3。删除或注释掉 SSLv3 和 TLSv1 部分,以禁用TLS 1.0。示例配置如下:

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

参考文章

https://blog.youkuaiyun.com/youuzi/article/details/132674960

twobun
关注
appscan_scan
05-25
appscan扫描字节搭建的tipask网站,这个是扫描结果
AppScan-Standard-10.6.0.28408/AppScan-Standard-10.7.0漏洞扫描工具
11-13
对于移动应用程序,它可以分析应用的二进制代码,发现应用中的漏洞和安全问题。其工作原理包括利用爬虫技术进行网站安全渗透测试,自动对网页链接进行安全扫描,利用“探索”技术发现网站的结构和目录,然后使用扫描...
AppScan扫描报告解决方案
anyucx的博客
12-26 1111
保存修改后 sbin/nginx -s reload -c conf/nginx.conf。在nginx安装目录下 conf 找到 nginx.conf 在需要server 中加上。一般以上问题解决方法是将扫描到的cdn文件或别的外部链接文件下载,换成本地路径即可。以上三种情况,可以在服务器或本地的nginx 配置文件中添加 ‘安全头’指定修改的配置文件并重启nginx 即可。
安全测试工具清单|常见安全测试工具介绍及比对
最新发布
Innocence_0的博客
03-06 905
介绍代码覆盖率工具,包括C语言覆盖率工具gcov和lcov、Java语言覆盖率工具JaCoCo,以及Python语言覆盖率工具Coverage和pytest-cov。
AppScan安全专项问题解决
weixin_46106147的博客
12-17 1724
通过将 Cookie 限制为第一方或同一站点上下文,防止 Cookie 信息泄露 如果没有额外的保护措施(例如反 CSRF 令牌),攻击可能会扩展到跨站点请求伪造 (CSRF) 攻击。为了从源头上解决CSRF(跨站请求伪造)攻击,Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cookie只能作为第一方Cookie,不能作为第三方Cookie,Samesite 有三个属性值,分别是 Strict 、Lax和None。这是最安全的伪指令。
安全扫描appscan问题修复
woshidalao12138的博客
02-22 779
之前还有用过Acunetix,但是没有AppScan好用1、部署AppScan2、新建一个扫描,录制登录程序3、可以选择让程序自己进行全盘扫描或者选择手动搜索4、可以选择全盘扫描,然后在里面再选择手动探索。会弹出一个谷歌浏览器,程序会记录下你访问了哪些接口,然后判断你这些请求是否有问题。需要注意的是,程序会修改你的入参然后批量访问接口,会造成大量脏数据,有需要可以提前备份一下数据库。5、结束了之后,就生成导出报告,就选择第一个tab的生成pdf就好,或者直接看一下结果。
基于Appscan扫描漏洞修复方案
weixin_46659330的博客
07-20 6194
基于Appscan扫描发现的漏洞,以及风险分析,解决方案
appscan无法连接到服务器_此网站无法提供安全连接 ,客户端和服务器不支持一般 SSL 协议版本或加密套件。...
weixin_39856630的博客
11-24 2221
记录一次配置阿里云CDN的故障:配置CDN和CNAME后,网站时不时无法访问,报错提示:此网站无法提供安全连接 https://www.yunglobe.com/ 使用了不受支持的协议。 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 协议不受支持 客户端和服务器不支持一般 SSL 协议版本或加密套件。 咨询官方回复:源站配置https没有的,因为您域名使用了cdn加速,用户...
安全测试漏扫工具-HCL AppScan-10.5.0(28368)-2024年4月-下载
04-12
重新设计了AppScan Connect - AppScan Enterprise界面,以允许立即或延迟扫描执行以及选择扫描方法的能力。 能够轻松地将完整的测试列表(不包括变体)从测试策略导出到 CSV 文件,无论测试是否启用。 问题视图中...
安全测试appscan操作手册-手动探索完全扫描的区别.pdf
07-14
AppScan的界面清晰地展示了扫描进度、漏洞类型以及具体的漏洞信息,这有助于测试人员理解问题的严重性并进行修复。生成报告是安全测试的重要部分,通过勾选相关选项,如“在每个问题之后加入分页(PDF)”,并选择...
AppScan安全测试总结.docx
06-30
扫描结束后,AppScan提供详尽的报告,包括发现的漏洞类型、漏洞原理的解释、修复建议以及手动验证的方法,这对于开发团队理解和解决安全问题十分有帮助。 安装AppScan的过程相对简单,只需按照提示进行,包括选择...
AppScan扫描工具
11-21
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
appscan_快速入门
07-24
系统需求 安装过程 许可证安装 简单的运行安全测试
安全扫描工具AppScan10
05-29
这款工具的核心价值在于帮助开发者和安全团队在开发过程中尽早发现并修复安全问题,防止潜在的网络安全威胁对业务造成损害。 ### 安全扫描的重要性 在数字化日益普及的今天,应用程序成为企业与用户交互的关键通道...
AppScan
汪敏的博客
08-16 610
AppScan
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值