WEB安全漏洞扫描与处理(下)——安全报告分析和漏洞处理
目录
1 AppScan生成的安全报告分析
2 漏洞的处理
3 漏洞修复案例
4 结语
1 AppScan生成的安全报告分析
利用AppScan生成安全报告,可以提前对要生成的安全报告的内容进行选择,如下图,最全的安全报告内容,包括摘要,安全性问题,咨询和修订建议,应用程序数据等。
生成的安全报告,基本上包含了以上的内容,具体的样例如下图。
其中的介绍部分,主要介绍了WEB安全不同严重级别的漏洞数量,扫描的时间,测试策略,主机IP,端口,登录方法,登录相关设置等信息。
摘要部分,主要描述了问题的类型说明,有漏洞的URL列表,修复任务和问题数量,安全风险和问题数量,漏洞原因和问题数量,WASC威胁分类和问题数量等。
按问题类型分类的问题部分,按照严重性从高到低列出了不同类型的漏洞问题,以及问题的分析,风险的描述,风险原因,测试的请求和响应信息等。
修订建议部分,针对前面发现的不同漏洞问题,提出了对应的修复建议。
咨询部分,也是针对不同的漏洞问题,从多个角度进行分析说明。
应用程序数据部分,列出了扫描过程中,应用程序的一些信息,访问的URL,访问的参数,失败的请求,JavaScript等等。
2 漏洞的处理
安全报告中的漏洞从严重性上可分为高、中、低三级,对于不同严重级别漏洞的处理,可以采用不同的处理方式,一般情况下,需要将高、中级别的漏洞解决掉,低级别的漏洞不做处理。
具体的处理方法,基本上按照漏洞处理建议,进行对应的处理。可以采用的处理措施包括安装第三方产品的最新补丁或修订程序,完善Web应用程序编程或配置,对用户输入字符进行必要的处理等,针对具体的漏洞问题,根据修订建议进行处理。
3 漏洞修复案例
在实际的安全漏洞扫描中,我们收到的安全报告,碰到了一些高危漏洞。这里通过一个高危漏洞的示例,说明漏洞的解决方法。
漏洞名称:通过 Bash 绑定远程命令执行(也称为 Shellshock,也称为 Bashdoor)Bashdoor)。
解决该漏洞的修订建议是应用适合的Bash版本补丁,而且给出了补丁地址。
在http://ftp.gnu.org/pub/gnu/bash/中,查找bash版本补丁,可以查找bash较新的版本,然后下载这个bash-5.0.tar.gz版本。
将文件上传到有漏洞的linux服务器上,利用tar命令解压该文件,然后cd到解压目录,执行
./configure && make && make install
安装编译bash-5.0,完成后,查看版本信息。
[root@localhost ~]# bash --version
GNU bash,版本 5.0.0(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2019 Free Software Foundation, Inc.
许可证 GPLv3+: GNU GPL 许可证第三版或者更新版本 http://gnu.org/licenses/gpl.html
通过版本说明,可以看到bash5.0已经安装成功。
然后再通过AppScan工具进行安全漏洞扫描,结果发现,Bash漏洞已经消失,说明通过安装新版本补丁,已经解决了Bash漏洞。
4 结语
分析了AppScan生成的安全报告,并且通过安全报告提供的漏洞解决方法,利用一个示例,解决了高危漏洞,通过文章介绍,可以利用AppScan进行系统的安全漏洞检测,并且解决相应的安全漏洞,提升Web应用的安全防护能力。
WEB安全漏洞扫描与处理(下)——安全报告分析和漏洞处理相关推荐
- mysql漏洞扫描工具_Rad爬虫结合W13Scan扫描器挖掘漏洞
一.背景 这几天一直在研究W13Scan漏洞扫描器,因为对Python不是太熟悉,所以进度有点慢,一直没看懂怎么将代理请求的数据转发到扫描队列中去,决定先熟悉熟悉这个功能再说:Rad爬虫最近比较火,于 ...
- java 框架注入漏洞修复_Mybatis框架下易产生SQL注入漏洞的场景和修复方法
一.Mybatis框架下易产生SQL注入漏洞的场景 在基于Mybatis框架的Java白盒代码审计工作中,通常将着手点定位在Mybatis的配置文件中.通过查看这些与数据库交互的配置文件来确定SQL语 ...
- 【常用工具】MSF使用教程(一)漏洞扫描与利用(以永恒之蓝漏洞复现为例)
目录 1 MSF框架 1.1 MSF简介 1.2 MSF五大模块类型 1.3 渗透攻击步骤 1.4 小结 2 实验简介 2.1 永恒之蓝简介 2.2 实验环境 2.3 实验目的 3 实验前准备 3.1 ...
- linux内核 漏洞扫描,Linux kernel中存在15年的漏洞
SCSI 定义了并行I/O 总线和数据协议来连接硬盘驱动.打印机.扫描仪.光驱.测试设备.医疗设备等外部设备到本地计算机.近日,GRIMM在Linux kernel SCSI (Small Compu ...
- Web安全漏洞扫描神器-AWVS下载、安装及使用教程
目录 一.AWVS介绍 二.网站漏洞扫描 三.漏洞扫描结果 四.漏洞告警分析利用 五.根据漏洞信息进行验证.利用 六.网络爬虫 七.主机发现(c段探测) 八.子域名探测 九.SQL注入 十.HTTP头 ...
- arachni web mysql数据库_开源Web漏洞扫描工具–Arachni(转载)
作者:{SJW}@ArkTeam Arachni是一个开源的,全面的.模块化的Web漏洞扫描框架,它能够帮助渗透人员和网络管理人员测试Web应用的安全性. 一.功能介绍 Arachni能适用于多平台和 ...
- web 漏洞扫描和验证工具:Vulmap使用
文章目录 项目概述 项目简介 项目事项表 漏洞探测使用 主要参数说明 项目试运行 项目概述 项目简介 Vulmap 是一款 web 漏洞扫描和验证工具, 可对 webapps 进行漏洞扫描, 并且具备 ...
- 使用OpenVAS 9进行漏洞扫描
目录 Part I:安装和使用 安装Openvas 9 启动和停止OpenVAS Part II:漏洞扫描 在OpenVAS中创建目标 在OpenVAS中配置扫描任务 运行OpenVAS漏洞扫描 查看 ...
- 漏洞扫描工具AWVS的介绍与使用
Acunetix Web Vulnerability Scanner(AWVS)是用于测试和管理Web应用程序安全性的平台,能够自动扫描互联网或者本地局域网中是否存在漏洞,并报告漏洞. 1. AWVS ...
- AWVS-Web漏洞扫描工具
一.AWVS简介 Acunetix Web Vulnerability Scanner(简称AWVS)是一个自动化的Web漏洞扫描工具,它可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则 ...
最新文章
- 用NVIDIA NsightcComputeRoofline分析加速高性能HPC的应用
- 汇集82万开发者,拿下7项世界冠军的科大讯飞有何魅力?
- spark-2.4.5-bin-2.6.0-cdh5.15.1环境搭建:Local模式和StandAlone
- 前端学习(2910):vue的介绍
- 使用Phpstorm实现远程开发
- android md 颜色,安卓MD(Material Design)规范
- 接口测试工具--Apipost不同脚本的作用
- 我的Android进阶之旅------Android ListView优化详解
- WIN10环境JAVA的JDK环境变量设置教程
- c语言电子表格复制数据错误循环冗余检查,xp系统提示“数据错误(循环冗余检查)”如何解决...
- php花曲线,ps钢笔工具怎么画曲线
- Java实现pdf文件转图片
- Word实用教程——五分钟教你如何在任意页开始添加页码
- vue 中面包屑带跳转的做法
- android高仿微信拍摄,Android 仿微信视频拍摄 支持触摸拍摄 长按拍摄
- linux 冒号用法
- 解决mac终端放大字体重启又变小了
- 虚拟机中安装vmtools工具的命令和相关问题解析
- emc re 整改 超标_RE102测试中单点超标且高频有杂散如何整改?
- 仿射密码加密解密代码(java)