问题标签 [bluemix-app-scan]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net-mvc - 从 POST 到 GET 漏洞操纵的 Signalr 轮询请求
在我的网络应用程序中,我使用的是 signalR。SignalR 连接使用长轮询传输,它向服务器发出 POST 请求并在查询字符串中传递参数。
现在我使用 IBM 应用扫描工具扫描了我的应用程序。测试操作 /signalr/poll 请求的 Method 从 POST 到 GET 并在服务器上执行所需的操作。对于相同请求的 GET 和 POST 动词,服务器响应相同。因此工具报告此请求易受攻击,因为响应是相同的。
那么如何限制 signalR HUB 服务器仅使用 POST 方法接受此请求?
以下是要求:
原始请求
被操纵的请求
reactjs - 内容安全策略:页面的设置阻止了内联资源的加载(“style-src”)。在火狐上
我在我的代码中添加了如下所示的 CSP
添加后,我的 UI 无法在 Firefox 上加载
即使我已经设置了这个 CSP,我也得到了 CSP 的 Appscan 问题
“AppScan 检测到 Content-Security-Policy 响应标头丢失或策略不安全,这增加了各种跨站点注入攻击的风险”
非常感谢您的帮助!
提前致谢!
primefaces - IBM AppScan - 盲 SQL 注入(基于时间) - JSF 2.2 和 Primefaces - JBOSS 7.2 EAP
原始帖子IBM AppScan
我们最近收到了来自 IBM AppScan DAST 的结果,其中一些结果没有多大意义。
高——盲注 SQL (基于时间)
SQL 盲注的第二种情况(基于时间)
推理:第一次和第三次测试响应超时,第二次测试响应正常接收
盲注 SQL 的第三种情况(基于时间)
寻找反馈和一些见解。
primefaces - IBM AppScan - 端口侦听器命令注入 - JSF 2.2 和 Primefaces - JBOSS 7.2 EAP
原始帖子IBM AppScan 我们最近收到了来自 IBM AppScan DAST 的结果,其中一些结果没有多大意义。
jsf - 通过“Referer”标头防止跨站点请求伪造
我们最近收到了来自 IBM AppScan DAST 的结果,其中一些结果没有多大意义。
2.Medium——跨站请求伪造
风险:可能会窃取或操纵客户会话和 cookie,它们可能被用来冒充合法用户,允许黑客查看或更改用户记录,并以该用户身份执行交易修复:验证价值“Referer”标头,并为每个提交的表单使用一次性随机数
对原始请求应用了以下更改:
将标头设置为“ http://bogus.referer.ibm.com ”
推理:
测试结果似乎表明存在漏洞,因为测试响应与原始响应相同,表明跨站点请求伪造尝试成功,即使它包含虚构的“引用者”标头。
请求/响应:
推荐的修复
验证“Referer”标头的值,并为每个提交的表单使用一次性随机数。
javax.faces.ViewState 具有隐式 CSRF 保护。
https://www.beyondjava.net/jsf-viewstate-and-csrf-hacker-attacks
我还可以使用受保护的视图进行明确的 CSRF 保护。这种显式的 CSRF 保护为所有情况添加了一个令牌,并另外添加了对“referer”和“origin”HTTP 标头的检查。(参考 Bauke & Arjan Book Definitive Guide)
该报告还将 /javax.faces.resource/ 标记为 CSS 、 JS 、我认为在报告中为误报的字体。
寻找反馈和一些见解。
jsf - IBM AppScan - 加密会话 (SSL) Cookie 中缺少安全属性
基于 IBM App Scan DSAT 测试,我们发现 primefaces.download 的加密会话 (SSL) Cookie 中缺少安全属性问题。
Primefaces 版本是 7.0
示例示例:https ://www.primefaces.org/showcase/ui/data/dataexporter/basic.xhtml
primefaces.download - 当我们下载文件时设置此 cookie
我们已经在 web.xml 中有 session-config,但是当我签入 chrome 时,primefaces.download cookie 没有设置为 http-only 和secured。
在 JBOSS 7.2 上运行它时还需要做些什么吗?
更新: 提出的问题 https://github.com/primefaces/primefaces/issues/6040
security - IBM AppScan 识别了在查询字符串中接收到的密码参数,含义
我正在尝试修复 IBM AppScan 结果中的问题,我得到了标记:
AppScan 识别出在查询字符串中接收到的密码参数
这个命令显示在屏幕上
而且我 100% 确定我没有在查询参数中发送关键信息,甚至没有收到请求我在想应用程序正在发送它自己的请求并希望我阻止它。
我是对的还是我在这里遗漏了什么?
http-method - AppScan 问题:Liberty 服务器欢迎页面上的“不安全的“OPTIONS”HTTP 方法已启用”
我的 HCL AppScan 报告中出现“不安全的“OPTIONS”HTTP 方法已启用”问题。虽然我设置了一个过滤器来为任何不安全的 http 方法(“OPTIONS”、“LOCK”等)返回 405,但我的 Liberty 服务器在“http://ip:port/”(我的应用程序运行在“http://ip:port/myapp/”,上下文路径为 /myapp)。因此,AppScan 在此欢迎页面上不断警告“不安全的“选项”HTTP 方法已启用”。仅在 Liberty 上禁用此欢迎页面,以便任何 http 方法转到“http://ip:port/”都会得到“404 not found”响应,这是一个安全的解决方案吗?
java - 如何修复 xls/xlsx getfiledata struts 的输出流上的 Validation.EncodingRequired 问题
我得到 Validation.EncodingRequired 用于使用 struts 框架上传 xls/xlsx 文件代码
Validation.EncodingRequired 问题已上线 -
我怎样才能解决这个问题?