安全测试报告解读
? ? ? ?具體工作情景上篇Blog說了,此處不多贅言,寫這篇,是因為后來我想起來這個測試報告的信息量很大,值得學習一下報告本身的一些技術內容,寫這個blog就是這個個學習的過程。
? ? ? ?這個報告由AppScan8.6掃描得出,主要分為以下問題類型:
? ? ? ? 修訂建議
n Review possible solutions for hazardous character injection
n 發送敏感信息時,始終使用 SSL 和 POST(主體)參數。
n 除去 HTML 注釋中的敏感信息
n 除去 Web 站點中的電子郵件地址
n 除去 Web 站點中的內部 IP 地址
n 除去服務器中的測試腳本
n 除去客戶端中的業務邏輯和安全邏輯
n 將“autocomplete”屬性正確設置為“off”
n 為 Web 服務器或 Web 應用程序下載相關的安全補丁
n 向所有會話 cookie 添加“HttpOnly”屬性
n 驗證參數值是否在其預計范圍和類型內。不要輸出調試錯誤消息和異常
咨詢
n SQL 盲注
n SQL 注入
n 跨站點腳本編制
n 使用 SQL 注入的認證旁路
n 已解密的登錄請求
n 鏈接注入(便于跨站請求偽造)
n 通過框架釣魚
n 發現數據庫錯誤模式
n 會話 cookie 中缺少 HttpOnly 屬性
n 自動填寫未對密碼字段禁用的 HTML 屬性
n HTML 注釋敏感信息泄露
n 發現電子郵件地址模式
n 發現可能的服務器路徑泄露模式
n 發現內部 IP 泄露模式
n 檢測到應用程序測試腳本
n 客戶端(JavaScript)Cookie 引用
n 應用程序錯誤
? ? ? ? ? 待續,改天些吧,這兩天太折騰,眼睛疼得受不了了。
? ? ? ? ? ?APPScan的測試報告后面附錄的介紹內容實在太多了,寫起來太費勁。應用還有一個白盒Java代碼分析報告。主要問題分類如下:
? ? ? ? ? ? 涉及后端的跨站腳本
? ? ? ? ? ?單例成員字段可能會導致的讀寫競爭情況
? ? ? ? ? ?密碼管理渠道上的不嚴密操作
? ? ? ? ? ?代碼修正:對NULL對象調用equals方法
? ? ? ? ? ?不安全的隨機數
? ? ? ? ? ?HTTPResponse分割(splitting)
? ? ? ? ? ?J2EE壞實踐:把不可序列化的對象保存在Session里
? ? ? ? ? ?本地文件路徑操作 ? ? ??
----------------------------------------------
有評論說讓我說說怎么解決,其實黑盒部分的修訂建議就是咨詢問題的解決方案,至于白盒這些問題本身說的就是很具體的代碼問題了。 ? ? ? ?
與50位技術專家面對面20年技術見證,附贈技術全景圖總結
- 上一篇: 三个简单的问题,让你顺势而为
- 下一篇: Hadoop源码分类概要整理