[b]1.會話cookie 中缺少httponly 屬性。[/b]
修復任務: 向所有會話cookie 新增「httponly」屬性
解決方案,過濾器中,
//httponly是微軟對cookie做的擴充套件,該值指定 cookie 是否可通過客戶端指令碼訪問,
//解決使用者的cookie可能被盜用的問題,減少跨站指令碼攻擊
[b]2.跨站點請求偽造。修復任務: 拒絕惡意請求。[/b]
解決方案,過濾器中
//http 頭設定 referer過濾
string referer = request2.getheader("referer"); //refresh
if(referer!=null && referer.indexof(basepath)<0)
[b]3.autocomplete html attribute not disabled for password field[/b]
修復任務: correctly set the "autocomplete" attribute to "off"
密 碼:
[b]4.html 注釋敏感資訊洩露。刪除注釋資訊。[/b]
private string filterdangerstring(string value)
value = value.replaceall("\\|", "");
value = value.replaceall("&", "&");
value = value.replaceall(";", "");
value = value.replaceall("@", "");
value = value.replaceall("'", "");
value = value.replaceall("\"", "");
value = value.replaceall("\\'", "");
value = value.replaceall("\\\"", "");
value = value.replaceall("<", "<");
value = value.replaceall(">", ">");
value = value.replaceall("\\(", "");
value = value.replaceall("\\)", "");
value = value.replaceall("\\+", "");
value = value.replaceall("\r", "");
value = value.replaceall("\n", "");
value = value.replaceall("script", "");
value = value.replaceall("%27", "");
value = value.replaceall("%22", "");
value = value.replaceall("%3e", "");
value = value.replaceall("%3c", "");
value = value.replaceall("%3d", "");
value = value.replaceall("%2f", "");
return value;
}
摘自:[url]
appscan 安全漏洞修復
1.會話標識未更新 登入頁面加入以下 request.getsession true invalidate 清空session cookie cookie request.getcookies 0 獲取cookie cookie.setmaxage 0 讓cookie過期 不是很明白session的...
Appscan安全漏洞修復
1.會話標識未更新 登入頁面加入以下 request.getsession true invalidate 清空session cookie cookie request.getcookies 0 獲取cookie cookie.setmaxage 0 讓cookie過期 request.getse...
Web安全漏洞
web的大多數安全問題都屬於下面三種型別之一 1 伺服器向公眾提供了不應該提供的服務。2 伺服器把本應私有的資料放到了公開訪問的區域。3 伺服器信賴了來自不可信賴資料來源的資料。顯然,許多伺服器管理員從來沒有從另乙個角度來看看他們的伺服器,例如使用埠掃瞄程式。如果他們曾經這樣做了,就不會在自己的系統...