具体工作情景上篇Blog说了,此处不多赘言,写这篇,是因为后来我想起来这个测试报告的信息量很大,值得学习一下报告本身的一些技术内容,写这个blog就是这个个学习的过程。
这个报告由AppScan8.6扫描得出,主要分为以下问题类型:
修订建议
n Review possible solutions for hazardous character injection
n 发送敏感信息时,始终使用 SSL 和 POST(主体)参数。
n 除去 HTML 注释中的敏感信息
n 除去 Web 站点中的电子邮件地址
n 除去 Web 站点中的内部 IP 地址
n 除去服务器中的测试脚本
n 除去客户端中的业务逻辑和安全逻辑
n 将“autocomplete”属性正确设置为“off”
n 为 Web 服务器或 Web 应用程序下载相关的安全补丁
n 向所有会话 cookie 添加“HttpOnly”属性
n 验证参数值是否在其预计范围和类型内。不要输出调试错误消息和异常
咨询
n SQL 盲注
n SQL 注入
n 跨站点脚本编制
n 使用 SQL 注入的认证旁路
n 已解密的登录请求
n 链接注入(便于跨站请求伪造)
n 通过框架钓鱼
n 发现数据库错误模式
n 会话 cookie 中缺少 HttpOnly 属性
n 自动填写未对密码字段禁用的 HTML 属性
n HTML 注释敏感信息泄露
n 发现电子邮件地址模式
n 发现可能的服务器路径泄露模式
n 发现内部 IP 泄露模式
n 检测到应用程序测试脚本
n 客户端(JavaScript)Cookie 引用
n 应用程序错误
待续,改天些吧,这两天太折腾,眼睛疼得受不了了。
APPScan的测试报告后面附录的介绍内容实在太多了,写起来太费劲。应用还有一个白盒Java代码分析报告。主要问题分类如下:
涉及后端的跨站脚本
单例成员字段可能会导致的读写竞争情况
密码管理渠道上的不严密操作
代码修正:对NULL对象调用equals方法
不安全的随机数
HTTPResponse分割(splitting)
J2EE坏实践:把不可序列化的对象保存在Session里
本地文件路径操作
----------------------------------------------
有评论说让我说说怎么解决,其实黑盒部分的修订建议就是咨询问题的解决方案,至于白盒这些问题本身说的就是很具体的代码问题了。