安全测试报告解读

具体工作情景上篇Blog说了,此处不多赘言,写这篇,是因为后来我想起来这个测试报告的信息量很大,值得学习一下报告本身的一些技术内容,写这个blog就是这个个学习的过程。

这个报告由AppScan8.6扫描得出,主要分为以下问题类型:

修订建议
n Review possible solutions for hazardous character injection
n 发送敏感信息时,始终使用 SSL 和 POST(主体)参数。
n 除去 HTML 注释中的敏感信息
n 除去 Web 站点中的电子邮件地址
n 除去 Web 站点中的内部 IP 地址
n 除去服务器中的测试脚本
n 除去客户端中的业务逻辑和安全逻辑
n 将“autocomplete”属性正确设置为“off”
n 为 Web 服务器或 Web 应用程序下载相关的安全补丁
n 向所有会话 cookie 添加“HttpOnly”属性
n 验证参数值是否在其预计范围和类型内。不要输出调试错误消息和异常
咨询
n SQL 盲注
n SQL 注入
n 跨站点脚本编制
n 使用 SQL 注入的认证旁路
n 已解密的登录请求
n 链接注入(便于跨站请求伪造)
n 通过框架钓鱼
n 发现数据库错误模式
n 会话 cookie 中缺少 HttpOnly 属性
n 自动填写未对密码字段禁用的 HTML 属性
n HTML 注释敏感信息泄露
n 发现电子邮件地址模式
n 发现可能的服务器路径泄露模式
n 发现内部 IP 泄露模式
n 检测到应用程序测试脚本
n 客户端(JavaScript)Cookie 引用
n 应用程序错误

待续,改天些吧,这两天太折腾,眼睛疼得受不了了。

APPScan的测试报告后面附录的介绍内容实在太多了,写起来太费劲。应用还有一个白盒Java代码分析报告。主要问题分类如下:

涉及后端的跨站脚本
           单例成员字段可能会导致的读写竞争情况
           密码管理渠道上的不严密操作
           代码修正:对NULL对象调用equals方法
           不安全的随机数
           HTTPResponse分割(splitting)
           J2EE坏实践:把不可序列化的对象保存在Session里
           本地文件路径操作

----------------------------------------------

有评论说让我说说怎么解决,其实黑盒部分的修订建议就是咨询问题的解决方案,至于白盒这些问题本身说的就是很具体的代码问题了。

时间: 2024-11-04 19:52:18

安全测试报告解读的相关文章

用Pytest+Allure生成漂亮的HTML图形化测试报告

本篇文章将介绍如何使用开源的测试报告生成框架Allure生成规范.格式统一.美观的测试报告. 通过这篇文章的介绍,你将能够: - 将Allure与Pytest测试框架相结合: - 执行测试之后,生成Allure格式的测试报告. 1.Allure测试报告介绍 Allure是一款非常轻量级并且非常灵活的开源测试报告生成框架. 它支持绝大多数测试框架, 例如TestNG.Pytest.JUint等.它简单易用,易于集成.下面就Pytest如何与Allure集成做详细介绍. 2.Pytest框架集成Al

iOS 图片加载框架-SDWebImage 解读

前段时间,美团开源了mpvue这个项目,使得我们又多了一种用来开发小程序的框架选项.由于mpvue框架是完全基于Vue框架的(重写了其runtime和compiler),因此在用法上面是高度和Vue一致的(某些功能由于受限于小程序环境本身的原因而不能使用),这给使用过Vue开发Web应用的前端开发者提供了极低的切换门槛来开发小程序. iOS 图片加载框架-SDWebImage 解读如果之前还未曾用过Vue这个框架的话,建议你可以 加我们QQ群668041364,一起交流学习 起手式:必要的开发环

jemeter生成测试报告

相对于Loadrunner,Jmeter其实也是可以有测试报告产出的,虽然一般都不用(没有Loadrunner的报告那么强大是一方面),还是顺手写一下吧,其实方法在用命令运行jmeter的时候就已经说明了: 1.准备脚本文件 2.cmd中运行一下命令 ——jmeter -n -t test.jmx(脚本的绝对路径) -l result.jtl(自定义的名称) -e -o \tmp\result_report(测试报告的绝对路径) 例:jmeter -n -t C:\Users\ZC\Deskto

ViewGroup源码解读

我们之前刚刚分析完事件传递机制和view的源码,如果没有看过的,建议看完View的事件拦截机制浅析以及View的事件源码解析.这次我们来分析下viewgroup的. 可能有人会想,怎么又是源码分析,肯定又是一大通.其实没你想的那么复杂.仔细分析一波就行了. 解读ViewGroup 我们都知道,一个事件完整的流程是从dispatchTouchevent–>onInterceptTouchevent–>onTouchEvent.我们先不说事件监听的问题.上述三个步骤就是正常一个点击的流程.前面我们

mysql之show engine innodb status解读(转)

add by zhj: 我第一次知道这个命令是线上服务出了问题,然后同事用这个命令去查看死锁.但用这个命令看死锁有一定的局限性,它只能看到最后一次死锁, 而且只能看到死锁环中的两个事务所执行的最后一条语句(即被死锁卡住的那条语句),看不到整个死锁环,也看到不整个事务的语句.但是即使这亲,对我 们来说也非常有用,因为一般来说,数据库同时存在多个死锁环的可能性比较小,而且有了死锁环中的事务的最后一条语句,我们找到整个死锁环不是太难. "show engine innodb status"这

智慧中国杯百万大奖赛解读 | 学霸去哪了(二)

在上一篇中我们探讨了学生的消费数据,消费数据对本次竞赛预测来讲很重要.本篇将探索寝室门禁.图书借阅.图书馆门禁和学生成绩等一些和学生学习相关的数据,来看看学生的品行如何,虽然资助金和奖学金的性质不太一样,但我们毕竟还是想资助那些品学兼优的学生,而不是资助虽然家境很贫寒但不学无术的学生. 所以本篇探索的数据可以比较好的反应出这些情况.当然这里面还隐藏了更好玩的话题,学霸去哪了?话不多说,let's go! 一.数据目录概况 官方提供的数据分为两组,分别是训练集和测试集,每一组都包含大约1万名学生的

QCustomplot使用分享(二) 源码解读

一.头文件概述 从这篇文章开始,我们将正式的进入到QCustomPlot的实践学习中来,首先我们先来学习下QCustomPlot的类图,如果下载了QCustomPlot源码的同学可以自己去QCustomPlot的目录下documentation/qcustomplot下寻找一个名字叫做index.html的文件,将其在浏览器中打开,也是可以找到这个库的类图.如图1所示,是组成一个QCustomPlot类图的可能组成形式. 一个图表(QCustomPlot):包含一个或者多个图层.一个或多个ite

以蓝牙开发的视觉解读微信Airsync协议

微信硬件平台使用蓝牙作为近场控制的连接件,并拟定了<微信蓝牙外设协议>.这份协议更像一个标准,用于规范微信和蓝牙外设之间的数据交互场景和接口.但从开发者来看,要完全读懂这份协议,恐怕需要熟读很多遍,并且要结合调试才能真正实现微信Airsync通信.笔者对IOT和微信硬件平台的整个框架和技术都比较熟悉了,并且已经在TI的CC254X和Dialog的DA14580上实现了微信Airsync协议通信.现在回过头来,从开发的角度,对微信Airsync协议进行重新解读,以帮助新进入物联网领域的开发者更快

Ehcache详细解读

Ehcache详细解读 Ehcache  是现在最流行的纯Java开源缓存框架,配置简单.结构清晰.功能强大,最初知道它,是从Hibernate的缓存开始的.网上中文的EhCache材料以简单介绍和配置方法居多,如果你有这方面的问题,请自行google:对于API,官网上介绍已经非常清楚,请参见官网:但是很少见到特性说明和对实现原理的分析,因此在这篇文章里面,我会详细介绍和分析EhCache的特性,加上一些自己的理解和思考,希望对缓存感兴趣的朋友有所收获. 一.特性一览 ,来自官网,简单翻译一下