使用appscan安全扫描问题以及解决办法】的更多相关文章

使用appscan安全扫描问题以及解决办法

最近在做安全扫描,把遇到的一些问题以及一些解决方法记录下,以备后用. 扫描软件: IBM Security AppScan Standard  规则: 17441 1. 已解密的登录请求 (高) - 传递的参数名称避免使用语义明确的英文单词 > 如UserID, UserPwd, Password等 - 传递参数中包含敏感数据时使用post方式提交并进行加密传输 - 采用ajax方式提交表单时,提交的参数名称应与对应的表单控件name属性不同或者去掉name属性,通过ID属性取值.   2. 查…

SQL SERVER 报:由于数据移动,未能继续以 NOLOCK 方式扫描错误的解决办法。

比如在某个表中使用 select xxx from xxx with(nolock) where xxxx 查询. 提示出错:由于数据移动,未能继续以 NOLOCK 方式扫描. 它有可能某些条件出错,某些条件不出错. 原因是有可能该表在物理文件存储中某一块数据损坏了.或者该表中的索引和表的数据不一致了. 解决办法-如果是整个库出错可以使用: 1.快速修复DBCC CHECKDB ('数据库名', REPAIR_FAST)     2.重建索引并修复DBCC CHECKDB ('数据库名', RE…

代码漏洞扫描描述Cross Site History Manipulation解决办法[dongcoder.com]

代码漏洞扫描 漏洞描述:Cross Site History Manipulation 简要描述:产品的行为差异或发送不同的反应,在某种程度上暴露了与安全性相关的产品状态,例如特定的操作是否成功.可能的漏洞消除办法: 区分你的系统"安全"的区域,这些区域可以明确地绘制信任边界.不允许敏感数据到信任边界的外面,和安全区域外的空间交互时需要时刻小心.为错误条件设置通用的响应.这个错误页面不应该透露有关成功或失败的敏感性操作的信息.例如,登录页面不应该确认登录是正确的和密码是错误的.攻击者想…

启用了不安全的HTTP方法解决办法 IBM APPSCAN

启用了不安全的HTTP方法解决办法  IBM APPSCAN     安全风险:       可能会在Web 服务器上上载.修改或删除Web 页面.脚本和文件. 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的. 修订建议:       如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法. 方法简介: 除标准的GET和POST方法外,HTTP请求还使用其他各种方法.许多这类方法主要用于完成不常见与特殊的任务.如果低权限用户可以访问这些方法,他…

IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法 分类: 数据安全 2014-06-28 11:35 2805人阅读 评论(0) 收藏

问题描述: 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true:   解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加:  <system.web>   <httpCookies httpOnlyCookies="true" requireSSL="true" /> <sy…

电脑扫描不出u盘的解决办法

现象:u盘已插上但是设备和驱动器里却找不到 解决办法: 首先记下u盘名称,然后 我的电脑-右键-管理-设备管理器,找到u盘,卸载设备后重新插入u盘即可…

logstash file输入,无输出原因与解决办法

1.现象 很多同学在用logstash input 为file的时候,经常会出现如下问题:配置文件无误,logstash有时一直停留在等待输入的界面 2.解释 logstash作为日志分析的管道,在实际场景中,日志量往往很大,因此不可能每次都是完整扫描一遍日志文件,然后导入.通常采用的办法就是增量读取.也就是读取新增量 NOTE:图1中的配置文件,在第一次运行的时候,是会有结果的.后续则为等待输入 解决办法 方法1:将日志文件先cp 然后 mv cp 2.log 2.log.new &&…

微信支付之扫码支付开发:我遇到的坑及解决办法(附:Ecshop 微信支付插件)

前段时间帮一个朋友的基于ecshop开发的商城加入微信扫描支付功能,本以为是很简单的事儿——下载官方sdk或开发帮助文档,按着里面的做就ok了,谁知折腾了两三天的时间才算搞定,中间也带着疑问在网上找了不少技术文章,却发现都只是比较粗略的写他们是怎么开发接入的,并没有解决我遇到的问题...,唉,有时候真心的感觉‘只能靠自己’.本文就是想把自己遇到的问题及解决办法写出来,让做这方面开发的朋友有所帮助! 开发之前,先查看官方[扫码支付]开发文档,扫码支付分为以下两种模式: △模式一: 遇到的问题:第一…

DB2死锁的解决办法

db2 get snapshot for locks on sampledb2 get db cfg for sampledb2 update db cfg using dlchktime 10000 -查看数据库管理器级别快照信息     db2 get snapshot for dbm -查看数据库级别快照信息     db2 get snapshot for database on dbname        -查看应用级别快照信息     db2 get snapshot for app…

Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法

sql注入攻击详解(二)sql注入过程详解 sql注入攻击详解(一)sql注入原理详解 我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法.怎么来解决和防范sql注入,由于本人主要是搞java web开发的小程序员,所以这里我只讲一下有关于java web的防止办法.其实对于其他的,思路基本相似.下面我们先从web应用程序的角度来看一下如何避免sql注入: 1.普通用户与系统管理员用户的权限要有严格的区分.   如果一个普通用户在使用查询语句中嵌入另一个Drop …