安全测试报告解读

Posted 朝晖

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全测试报告解读相关的知识,希望对你有一定的参考价值。

       具体工作情景上篇Blog说了,此处不多赘言,写这篇,是因为后来我想起来这个测试报告的信息量很大,值得学习一下报告本身的一些技术内容,写这个blog就是这个个学习的过程。

       这个报告由AppScan8.6扫描得出,主要分为以下问题类型:

        修订建议
n Review possible solutions for hazardous character injection
n 发送敏感信息时,始终使用 SSL 和 POST(主体)参数。
n 除去 html 注释中的敏感信息
n 除去 Web 站点中的电子邮件地址
n 除去 Web 站点中的内部 IP 地址
n 除去服务器中的测试脚本
n 除去客户端中的业务逻辑和安全逻辑
n 将“autocomplete”属性正确设置为“off”
n 为 Web 服务器或 Web 应用程序下载相关的安全补丁
n 向所有会话 cookie 添加“HttpOnly”属性
n 验证参数值是否在其预计范围和类型内。不要输出调试错误消息和异常
咨询
n SQL 盲注
n SQL 注入
n 跨站点脚本编制
n 使用 SQL 注入的认证旁路
n 已解密的登录请求
n 链接注入(便于跨站请求伪造)
n 通过框架钓鱼
n 发现数据库错误模式
n 会话 cookie 中缺少 HttpOnly 属性
n 自动填写未对密码字段禁用的 HTML 属性
n HTML 注释敏感信息泄露
n 发现电子邮件地址模式
n 发现可能的服务器路径泄露模式
n 发现内部 IP 泄露模式
n 检测到应用程序测试脚本
n 客户端(JavaScript)Cookie 引用
n 应用程序错误

          待续,改天些吧,这两天太折腾,眼睛疼得受不了了。

           APPScan的测试报告后面附录的介绍内容实在太多了,写起来太费劲。应用还有一个白盒Java代码分析报告。主要问题分类如下:

            涉及后端的跨站脚本
           单例成员字段可能会导致的读写竞争情况
           密码管理渠道上的不严密操作
           代码修正:对NULL对象调用equals方法
           不安全的随机数
           HTTPResponse分割(splitting)
           J2EE坏实践:把不可序列化的对象保存在Session里
           本地文件路径操作       

----------------------------------------------

有评论说让我说说怎么解决,其实黑盒部分的修订建议就是咨询问题的解决方案,至于白盒这些问题本身说的就是很具体的代码问题了。        

以上是关于安全测试报告解读的主要内容,如果未能解决你的问题,请参考以下文章

解读:ISTMT测试报告是什么?什么是TM21认证 ?

解读:ISTMT测试报告是什么?什么是TM21认证 ?

GPT4GPT4 官方报告解读

注意力测试报告

Maven 完整的安全报告,包括通过的测试记录事件

解读分类报告