如题所述
ãã[AppScan]ä¿®å¤æ¼æ´ä¸ï¼å¯ç¨ä¸å®å
¨çHTTPæ¹æ³ ï¼ä¸ï¼
ããä¿®æ¹å»ºè®®ï¼å¯éç¨3ç§æ¹æ³ï¼
ãã1.ç¦ç¨WebDAVåè½ï¼è½æ ¹æ¬è§£å³ãä¸å¼å ¥æ°çä¸ç¨³å®å ç´
ãã2.使ç¨URLSCANç¦ç¨OPTIONSï¼å®é 没æçæ£ç¦ç¨ï¼ä½ç¼©å°äºå½±åèå´ãURLSCANå¯è½æå¯ä½ç¨ã
ãã3.使ç¨URLSCANç¦ç¨OPTIONSåå ¶ä»HTTPæ¹æ³ï¼æè åªå 许GET/POST/HEADæ¹æ³ï¼èªå¨ç¦ç¨å ¶ä»æ¹æ³ï¼
ãã[AppScan]ä¿®å¤æ¼æ´äºï¼èªå¨å¡«åæªå¯¹å¯ç å段ç¦ç¨ç HTML å±æ§ ï¼ä½ï¼
ããæ¨çï¼AppScan åç°å¯ç å段没æ强å¶ç¦ç¨èªå¨å¡«ååè½ã
ããä¿®æ¹å»ºè®®ï¼å°âautocompleteâå±æ§æ£ç¡®è®¾ç½®ä¸ºâoffâ
ãã[AppScan]ä¿®å¤æ¼æ´ä¸ï¼HTML注éææä¿¡æ¯æ³é²ï¼åèä¿¡æ¯ï¼
ãã建议ï¼å¯ä»¥ç¹å»å ·ä½é®é¢ç¶åæ¥ç请æ±/ååºç¹å»ä¸ä¸è¡çªåºæ¾ç¤ºçå ·ä½é®é¢ï¼ç¶åå¨ç½ç«ç¸åºé¡µé¢åå°ä¸æ¥çæ¯å¦å·²å»ææ¤æ³¨éã
ããä¿®æ¹å»ºè®®ï¼å¯éç¨3ç§æ¹æ³ï¼
ãã1.ç¦ç¨WebDAVåè½ï¼è½æ ¹æ¬è§£å³ãä¸å¼å ¥æ°çä¸ç¨³å®å ç´
ãã2.使ç¨URLSCANç¦ç¨OPTIONSï¼å®é 没æçæ£ç¦ç¨ï¼ä½ç¼©å°äºå½±åèå´ãURLSCANå¯è½æå¯ä½ç¨ã
ãã3.使ç¨URLSCANç¦ç¨OPTIONSåå ¶ä»HTTPæ¹æ³ï¼æè åªå 许GET/POST/HEADæ¹æ³ï¼èªå¨ç¦ç¨å ¶ä»æ¹æ³ï¼
ãã[AppScan]ä¿®å¤æ¼æ´äºï¼èªå¨å¡«åæªå¯¹å¯ç å段ç¦ç¨ç HTML å±æ§ ï¼ä½ï¼
ããæ¨çï¼AppScan åç°å¯ç å段没æ强å¶ç¦ç¨èªå¨å¡«ååè½ã
ããä¿®æ¹å»ºè®®ï¼å°âautocompleteâå±æ§æ£ç¡®è®¾ç½®ä¸ºâoffâ
ãã[AppScan]ä¿®å¤æ¼æ´ä¸ï¼HTML注éææä¿¡æ¯æ³é²ï¼åèä¿¡æ¯ï¼
ãã建议ï¼å¯ä»¥ç¹å»å ·ä½é®é¢ç¶åæ¥ç请æ±/ååºç¹å»ä¸ä¸è¡çªåºæ¾ç¤ºçå ·ä½é®é¢ï¼ç¶åå¨ç½ç«ç¸åºé¡µé¢åå°ä¸æ¥çæ¯å¦å·²å»ææ¤æ³¨éã
温馨提示:答案为网友推荐,仅供参考
第1个回答 推荐于2016-09-27
[AppScan]修复漏洞一:启用不安全的HTTP方法 (中)
修改建议:可采用3种方法:
1.禁用WebDAV功能,能根本解决。不引入新的不稳定因素
2.使用URLSCAN禁用OPTIONS,实际没有真正禁用,但缩小了影响范围。URLSCAN可能有副作用。
3.使用URLSCAN禁用OPTIONS和其他HTTP方法,或者只允许GET/POST/HEAD方法(自动禁用其他方法)
[AppScan]修复漏洞二:自动填写未对密码字段禁用的 HTML 属性 (低)
推理:AppScan 发现密码字段没有强制禁用自动填写功能。
修改建议:将“autocomplete”属性正确设置为“off”
[AppScan]修复漏洞三:HTML注释敏感信息泄露(参考信息)
建议:可以点击具体问题然后查看请求/响应点击下一行突出显示看具体问题,然后在网站相应页面前台中查看是否已去掉此注释。本回答被提问者和网友采纳
修改建议:可采用3种方法:
1.禁用WebDAV功能,能根本解决。不引入新的不稳定因素
2.使用URLSCAN禁用OPTIONS,实际没有真正禁用,但缩小了影响范围。URLSCAN可能有副作用。
3.使用URLSCAN禁用OPTIONS和其他HTTP方法,或者只允许GET/POST/HEAD方法(自动禁用其他方法)
[AppScan]修复漏洞二:自动填写未对密码字段禁用的 HTML 属性 (低)
推理:AppScan 发现密码字段没有强制禁用自动填写功能。
修改建议:将“autocomplete”属性正确设置为“off”
[AppScan]修复漏洞三:HTML注释敏感信息泄露(参考信息)
建议:可以点击具体问题然后查看请求/响应点击下一行突出显示看具体问题,然后在网站相应页面前台中查看是否已去掉此注释。本回答被提问者和网友采纳
