最近產品搞安全漏洞修復(由省公安局發文強制要求整改高危漏洞,發起的這項活動)
涉及幾個點,必須修改:
①跨站腳本
②請求參數篡改
- 場景 1:表格提交前,通過攔截請求參數,篡改參數后,再發送給服務器
- 場景2:修改個人信息時,通過攔截響應數據,篡改響應結果后,再返回給客戶端(即前端驗證不正確,結果返回是正確的,於是成功進入修改頁面)
③加密傳輸
用戶在登錄后,涉及需要傳輸密碼的地方,需要加密傳輸
④防偽造登錄
在整改后,先手動驗證了,最后用APPscan掃描:
- fiddler攔截請求 及 響應數據
場景1,可以通過fiddler抓包工具,攔截requests 的數據,再發給服務器,並篡改
場景2,可以通過fiddler抓包工具,攔截responses返回的數據,篡改后,返回前端
=====================================================================
- APPscan掃描
APPSCAN的登錄方法,根據實際需要選擇(如:自動),用戶名和密碼即為被測網站的登錄賬戶,
PS:(如果后面,通過手工探索來錄制腳本,在錄制過程中,在界面上輸入用戶名和賬號)
1)若登錄方法選擇“記錄”,則可通過界面右側的“記錄(R)”按鈕打開APPScan內置瀏覽器並輸入登錄信息,關閉內置瀏覽器后,AppScan即可記錄該用戶名和密碼,掃描的時候相當於是已登錄此賬戶的狀態進行掃描;
2)若選擇“提示”,則根據網站掃描探索過程中需要登錄會提示輸入登錄信息,人工輸入正確的賬號信息之后繼續掃描;
3)若選擇“無”,則不需輸入登錄賬戶
===============================
- AppScan使用特別注意事項
【1】AppScan掃描過程中,會向服務器發送較多請求,會占用一定的正常請求訪問的資源,可能導致一些垃圾數據,建議只在本地測試環境執行
【2】使用AppScan之前,請提前備份好數據庫的數據,假若掃描致使服務器異常關閉,則需重啟服務;若掃描產生的請求數據過多,或Web程序出現異常,可能需要從備份數據恢復還原。一般情況下,正常掃描Web程序很少可能出現Web服務異常的情形
【3】AppScan掃描配置時,有區分為Web Application(Web應用程序)和Web Service(Web服務)的掃描方向。若只對Web程序本身的漏洞檢測,就選Web Application掃描即可;
若選擇Web Service掃描,則需提前告知服務器維護的負責人,建立異常情況發生的處理機制,最好避開訪問請求的高峰or辦公人員集中使用的時間,比如下班后自動掃描
【4】AppScan掃描的結果並不代表完全真實的情況,受限於所用掃描器版本的漏洞規則庫的規則,以及操作者的配置策略,掃描過程中有可能會使得掃描器出現誤判or漏測。
如有必要,還需對掃描的結果進行人工校驗,可對同一Web應用分次進行掃描對比差異性
【6】使用破解版的AppScan掃描Web應用時,若Web網站本身結構比較復雜、模塊眾多、涉及的url數目巨大(幾萬-十多萬),
則不宜一次性全站掃描,有可能連續掃描幾個小時都不能探索完網站的所有結構。持續時間過長還可能造成AppScan出現卡頓,顯示“正在掃描中”,但實際上已經沒有繼續再掃描。
因此,當第一次探索了大概的網站結構和容量之后,若容量巨大,最好分而治之,按模塊結構分批進行掃描測試
【7】結果分析(Analysis)
在APPScan掃描結果基礎上,根據不同的嚴重級別進行排序、手工+工具驗證的方式對漏洞驗證可靠性,排除誤報的情況,並盡可能找出漏報的情況,把本次掃描結果匯總,對以上已驗證存在的安全漏洞排列優先級、漏洞威脅程度,並提出每個漏洞的修復建議
然后,再把此次安全漏洞整理的報告提交給項目負責人,由負責人決定哪些漏洞轉給開發工程師修復,而后再由安全測試工程師進行回歸驗證修復的狀況
鏈接:https://www.jianshu.com/p/46e1d026e97f
來源:簡書
簡書著作權歸作者所有,任何形式的轉載都請聯系作者獲得授權並注明出處。
參照:
① https://www.jianshu.com/p/46e1d026e97f APPscan的使用
②https://blog.csdn.net/vikesgao/article/details/7823136 APPscan的工作原理
==========================================================
問題:大佬,用appscan掃描web安全,它攻擊時會修改請求的類型嗎?
比如啊,一個接口本來是post請求,它按get請求攻擊,存在漏洞
解答:接口本來是post,為啥讓get也能用,這就是風險點啊