IBM Rational AppScan扫描到的问题修改

目前因为客户要求我们检查项目的安全性,所以我们就用了IBM Rational AppScan扫描了一下系统。
不扫不知道,一扫吓一跳啊。我们的系统被扫出来等级为中等以上问题还真不少。
当然,这扫得出来的不全部都是问题,问题在于这个扫描工具的推理不是很严谨的,而且也不是针对IIS的,很多其它系统的规则也放在里面。为什么?因为我用了默认的规则,因为我们推想,客户不会同意我们去改默认规则的。呵呵~所以以下的,大多是针对这些做表面功夫的。

扫出来的中等程序以上的问题有3个,分别如下:
1、Authentication Bypass Using SQL Injection
其实已经是没有问题的了,全部都采用了参数化。但依然能扫出来,不知何解,故我们改了一下userid,password控件的名称,问题解决……

2、Alternate Version of File Detected
问题产生的原因是当访问./default.aspx 时,IIS自动去掉了前面的“./”返回了正确的响应。
解决暂无

3、Cross-Site Request Forgery (requires user verification)
在后台的OnPreInit事件中设置:
Page.ViewStateUserKey = Session.SessionID;//防范CSRF漏洞
web.config中设置:



4、Directory Listing
去掉IIS中文件夹浏览功能

5、Directory Listing Pattern Found
访问的页面中包含了Parent Directory关键词。本项目中,是因为开启了IIS文件夹浏览,软件检测到了BIN目录下的SVN文件夹中的文件
解决办法:删掉无关的文件

6、Unencrypted Login Request
未加密的登录请求,如果客户强烈要求解决,叫他们用HTTPS吧,或者自己写一个像淘宝那样的登录控件

文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相关日志:
评论: 0 | 引用: 0 | 查看次数: 948
发表评论
昵 称:
密 码: 游客发言不需要密码.
邮 箱: 支持Gravatar头像.
网 址: 输入网址便于回访.
内 容:
验证码:
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.
字数限制 1000 字 | UBB代码 开启 | [img]标签 关闭