AppScan扫描常见问题解决方法 - 技术 - 方帮信


大厂面试直通卡 本周拉勾免费课:《深入浅出搞定React》 7月6号下线 【腾讯云】2021新春采购节,爆款产品特惠,助力企业上云
当前位置: 首页 >  > 技术

AppScan扫描常见问题解决方法

2020/6/14 11:58:58 浏览

加密会话(SSL)Cookie中缺少Secure属性给cookie添加secure属性:在ASP.NET的项目中在Web.config中添加如下配置:<httpCookies requireSSL="true" />SSL中的查询参数:改为在POST请求中发送由于加密请求的敏感性,建议您尽可能使用HTTP POST(不带URL字符…

站长送干货喽:

1.拉勾教育7天VIP

2.大场面试题第一季-阿里篇视频讲解

站长的微信:changyandoublog

  • 加密会话(SSL)Cookie中缺少Secure属性

给cookie添加secure属性:

在ASP.NET的项目中在Web.config中添加如下配置:

<httpCookies requireSSL="true" />
  • SSL中的查询参数:

改为在POST请求中发送

由于加密请求的敏感性,建议您尽可能使用HTTP POST(不带URL字符串中的参数),以避免向其他人泄露URL 和参数值。


  • 不安全的第三方链接

rel="noopener noreferrer"


  • 发现可高速缓存的SSL页面

image-20200614151226837.png


设置cache-control属性:

<meta http-equiv="cache-control" content="no-cache">
  • 未实施加密

在全局入口中增加当前url的过滤,如果起始字符不是https,就直接返回,提示未实施加密,请求无效

//判断是否为https开头
String referer=request.getHeader("Referer");
if(!referer.startsWith("https://")){
   forwordException(reqrequestresponse"","未实施加密,请求无效");//包装一个跳转错误的方法
return;
}
  • 缺少HTTP Strict-Transport-Security头

<system.webServer>
   <httpProtocol>
       <customHeaders>
           <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains"/>
       </customHeaders>
   </httpProtocol>
</system.webServer>


ASP.NET 如何解决 缺少HTTP Strict-Transport-Security头


Strict-Transport-Security响应报头(通常缩写为 HSTS)是一种安全功能,可以让一个网站告诉大家,它应该只使用HTTPS,而不是使用 HTTP 进行通信的浏览器。
  • 过度许可的CORS访问测试

AppScan检测到“Access-Control-Allow-Origin”头的许可权太多

image-20200614154153505.png


来源:方帮信(微信:changyandoublog,邮箱:changyandou@126.com),欢迎分享!