安全测试报告解读
? ? ? ?具體工作情景上篇Blog說了,此處不多贅言,寫這篇,是因?yàn)楹髞砦蚁肫饋磉@個測試報告的信息量很大,值得學(xué)習(xí)一下報告本身的一些技術(shù)內(nèi)容,寫這個blog就是這個個學(xué)習(xí)的過程。
? ? ? ?這個報告由AppScan8.6掃描得出,主要分為以下問題類型:
? ? ? ? 修訂建議
n Review possible solutions for hazardous character injection
n 發(fā)送敏感信息時,始終使用 SSL 和 POST(主體)參數(shù)。
n 除去 HTML 注釋中的敏感信息
n 除去 Web 站點(diǎn)中的電子郵件地址
n 除去 Web 站點(diǎn)中的內(nèi)部 IP 地址
n 除去服務(wù)器中的測試腳本
n 除去客戶端中的業(yè)務(wù)邏輯和安全邏輯
n 將“autocomplete”屬性正確設(shè)置為“off”
n 為 Web 服務(wù)器或 Web 應(yīng)用程序下載相關(guān)的安全補(bǔ)丁
n 向所有會話 cookie 添加“HttpOnly”屬性
n 驗(yàn)證參數(shù)值是否在其預(yù)計范圍和類型內(nèi)。不要輸出調(diào)試錯誤消息和異常
咨詢
n SQL 盲注
n SQL 注入
n 跨站點(diǎn)腳本編制
n 使用 SQL 注入的認(rèn)證旁路
n 已解密的登錄請求
n 鏈接注入(便于跨站請求偽造)
n 通過框架釣魚
n 發(fā)現(xiàn)數(shù)據(jù)庫錯誤模式
n 會話 cookie 中缺少 HttpOnly 屬性
n 自動填寫未對密碼字段禁用的 HTML 屬性
n HTML 注釋敏感信息泄露
n 發(fā)現(xiàn)電子郵件地址模式
n 發(fā)現(xiàn)可能的服務(wù)器路徑泄露模式
n 發(fā)現(xiàn)內(nèi)部 IP 泄露模式
n 檢測到應(yīng)用程序測試腳本
n 客戶端(JavaScript)Cookie 引用
n 應(yīng)用程序錯誤
? ? ? ? ? 待續(xù),改天些吧,這兩天太折騰,眼睛疼得受不了了。
? ? ? ? ? ?APPScan的測試報告后面附錄的介紹內(nèi)容實(shí)在太多了,寫起來太費(fèi)勁。應(yīng)用還有一個白盒Java代碼分析報告。主要問題分類如下:
? ? ? ? ? ? 涉及后端的跨站腳本
? ? ? ? ? ?單例成員字段可能會導(dǎo)致的讀寫競爭情況
? ? ? ? ? ?密碼管理渠道上的不嚴(yán)密操作
? ? ? ? ? ?代碼修正:對NULL對象調(diào)用equals方法
? ? ? ? ? ?不安全的隨機(jī)數(shù)
? ? ? ? ? ?HTTPResponse分割(splitting)
? ? ? ? ? ?J2EE壞實(shí)踐:把不可序列化的對象保存在Session里
? ? ? ? ? ?本地文件路徑操作 ? ? ??
----------------------------------------------
有評論說讓我說說怎么解決,其實(shí)黑盒部分的修訂建議就是咨詢問題的解決方案,至于白盒這些問題本身說的就是很具體的代碼問題了。 ? ? ? ?
與50位技術(shù)專家面對面20年技術(shù)見證,附贈技術(shù)全景圖總結(jié)
- 上一篇: 三个简单的问题,让你顺势而为
- 下一篇: Hadoop源码分类概要整理