Appscan安全漏洞修复
修改&web&工程中或者服务器web.xml,增加安全配置信息，禁用不必要HTTP方法
&security-constraint&
&web-resource-collection&
&url-pattern&/*&/url-pattern&
&http-method&PUT&/http-method&
&http-method&DELETE&/http-method&
&http-method&HEAD&/http-method&
&http-method&OPTIONS&/http-method&
&http-method&TRACE&/http-method&
&/web-resource-collection&
&auth-constraint&
&/auth-constraint&
&/security-constraint&
&login-config&
&auth-method&BASIC&/auth-method&
&/login-config&
修改web工程中或者服务器web.xml,增加安全配置信息，禁用不必要HTTP方法
&security-constraint&
&web-resource-collection&
&url-pattern&/*&/url-pattern&
&http-method&PUT&/http-method&
&http-method&DELETE&/http-method&
&http-method&HEAD&/http-method&
&http-method&OPTIONS&/http-method&
&http-method&TRACE&/http-method&
&/web-resource-collection&
&auth-constraint&
&/auth-constraint&
&/security-constraint&
&login-config&
&auth-method&BASIC&/auth-method&
&/login-config&
4.已解密登录请求
配置SSL，具体见/admin/blogs/1320231
在web.xml加入如下配置。
&security-constraint&
&web-resource-collection &
&web-resource-name &SSL&/web-resource-name&
&url-pattern&/*&/url-pattern&
&/web-resource-collection&
&user-data-constraint&
&transport-guarantee&CONFIDENTIAL&/transportguarantee&
&/user-data-constraint&
&/security-constraint&
&security-constraint&
&web-resource-collection &
&web-resource-name &SSL&/web-resource-name&
&url-pattern&/*&/url-pattern&
&/web-resource-collection&
&user-data-constraint&
&transport-guarantee&CONFIDENTIAL&/transportguarantee&
&/user-data-constraint&
&/security-constraint&
5.高速缓存的ssl页面
&meta http-equiv=&Pragma& contect=&no-cache&&
&meta http-equiv=&Pragma& contect=&no-cache&&
response.setHeader(&Pragma&, &No-cache&);
response.setHeader(&Pragma&, &No-cache&);
6.目录列表
配置文件目标拒绝访问。
在conf/web.xml下:
&servlet-name& default &/servlet-name&
&servlet-class& org.apache.catalina.servlets.DefaultServlet &/servlet-class&
&init-param&
&param-name& debug &/param-name&
&param-value& 0 &/param-value&
&/init-param&
&init-param&
&param-name& listings &/param-name&
&param-value& false &/param-value&
&/init-param&
&load-on-startup& 1 &/load-on-startup&
&/servlet&
&servlet-name& default &/servlet-name&
&servlet-class& org.apache.catalina.servlets.DefaultServlet &/servlet-class&
&init-param&
&param-name& debug &/param-name&
&param-value& 0 &/param-value&
&/init-param&
&init-param&
&param-name& listings &/param-name&
&param-value& false &/param-value&
&/init-param&
&load-on-startup& 1 &/load-on-startup&
&/servlet&
把listings对应的value设置为fasle.
或者把上面的这个servlet加到你的虚拟路径下的web-inf/web.xml中,把servlet-name改为其它的,再加一下servlet-mapping
&servlet-name& default1 &/servlet-name&
&servlet-class& org.apache.catalina.servlets.DefaultServlet &/servlet-class&
&init-param&
&param-name& debug &/param-name&
&param-value& 0 &/param-value&
&/init-param&
&init-param&
&param-name& listings &/param-name&
&param-value& false &/param-value&
&/init-param&
&load-on-startup& 1 &/load-on-startup&
&/servlet&
&servlet-mapping&
&servlet-name& default1 &/servlet-name&
&url-pattern& / &/url-pattern&
&servlet-mapping&
&servlet-name& default1 &/servlet-name&
&servlet-class& org.apache.catalina.servlets.DefaultServlet &/servlet-class&
&init-param&
&param-name& debug &/param-name&
&param-value& 0 &/param-value&
&/init-param&
&init-param&
&param-name& listings &/param-name&
&param-value& false &/param-value&
&/init-param&
&load-on-startup& 1 &/load-on-startup&
&/servlet&
&servlet-mapping&
&servlet-name& default1 &/servlet-name&
&url-pattern& / &/url-pattern&
&servlet-mapping&
​&&&[2]&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】Bugtraq ID:
CVE ID:CVE-
CNCVE ID：CNCVE-
漏洞发布时间:
漏洞更新时间:
IBM Security AppScan Standard 8.8
IBM Security AppScan Standard 8.7
IBM Security AppScan Standard 8.6
IBM Rational AppScan Standard 8.5
IBM Rational AppScan Standard 8.0
IBM Rational AppScan Standard 7.9
不受影响系统
远程攻击者可以利用漏洞执行任意代码。
CVSSv2:7.6
攻击所需条件
攻击者必须访问IBM Rational AppScan Standard。
IBM Rational AppScan Standard用于提供Web应用程序漏洞测试和报告,以扩展安全性测试。
IBM Rational AppScan Standard更新程序在下载更新时没有对文件进行正确的完整性检查，允许远程攻击者利用漏洞以应用程序上下文执行任意代码。
厂商解决方案
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：
漏洞提供者
漏洞消息链接
| 400-624-0-6038
& 启明星辰 版权所有
京公网安备号[AppScan]修复漏洞一：启用不安全的HTTP方法 （中）
漏洞背景：& & & &启用了不安全的 HTTP 方法&属于&中&危漏洞。漏洞描述是：根据APPSCAN的报告，APPSCAN通过OPTIONS请求，当响应中发现DELETE、SEARCH、COPY等方法为允许方法时，则认为是漏洞。
修改建议：可采用3种方法：1.禁用WebDAV功能，能根本解决。不引入新的不稳定因素2.使用URLSCAN禁用OPTIONS，实际没有真正禁用，但缩小了影响范围。URLSCAN可能有副作用。3.使用URLSCAN禁用OPTIONS和其他HTTP方法，或者只允许GET/POST/HEAD方法（自动禁用其他方法）
[AppScan]修复漏洞二：自动填写未对密码字段禁用的 HTML 属性 （低）
推理： AppScan 发现密码字段没有强制禁用自动填写功能。修改建议：将&autocomplete&属性正确设置为&off&
[AppScan]修复漏洞三：HTML注释敏感信息泄露（参考信息）
建议：可以点击具体问题然后查看请求/响应点击下一行突出显示看具体问题，然后在网站相应页面前台中查看是否已去掉此注释。
[AppScan]修复漏洞四：会话标识未更新（中危）
漏洞背景：
& & & &会话标识未更新&是中危漏洞，AppScan会扫描&登录行为&前后的Cookie，其中会对其中的JSESSIONOID（JSP）或者 ASP.NET_SessionId（ASP）进行记录。在登录行为发生后，如果cookie中这个值没有发生变化，则判定为&会话标识未更新&漏洞。
修改建议：
JSP的修复方法可参考这位大侠的文章， /Article/227.html
在登录页面上加上一段代码：
request.getSession().invalidate();//清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期
然后用户再输入信息登录时，就会产生一个新的session了。
ASP的修复方法可以参考以下代码，在登录按钮点击后，确认登录前，加入3行代码对Cookie进行清空已达到重置SessionId的效果。
protected void btnLogin_Click(object sender, EventArgs e)
//重置SessionId
Session.Clear();
Session.Abandon();
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));
//登录判断
if (check(txtName.Text,txtPassword.Text))
FormsAuthentication.SetAuthCookie("admin", false);
Response.Redirect("Default.aspx");
&会话标识未更新&的危害：
& & & &在于攻击者通过某种方式（如XSS）将自己的Id置入了被攻击者的浏览器，将会话标识改为某个攻击者预设的值，被攻击者正常登陆，若服务器接收了这个预设值，那么相当于攻击者获得了被攻击者登录后的权限，因此才要求在登录时更新会话标识
阅读(...) 评论()