appscan查到的漏洞解决方案-java版

人生难得几回搏，此时不搏待何时。这篇文章主要讲述appscan查到的漏洞解决方案-java版相关的知识，希望能为你提供帮助。
1.会话标识未更新：登录页面加入以下代码:
request.getSession(true).invalidate(); //清空session
Cookie cookie = request.getCookies()[0]; //获取cookie
cookie.setMaxAge(0); //让cookie过期
2.跨站点请求伪CSRF:
response.getWriter().write( " < script> parent.location.href=https://www.songbingjia.com/android/‘dbase/admin/loginJsp.action?sessionId=" +sessionId+" ‘< /script> " );
带参数的：
response.getWriter().write(? " < script language=" javascript" > " +" document.write(" < form action=dbase/admin/loginJsp.action method=post name=formx1 style=‘display:none‘> " ); " +" document.write(" < input type=hidden name=name value=https://www.songbingjia.com/android/‘" +sessionId+" ‘" ); " + " document.write(" < /form> " ); " +" document.formx1.submit(); " +" < /script> " ? );
3.启用不安全HTTP方法
在web.xml加入如下配置
【appscan查到的漏洞解决方案-java版】< security-constraint>
< web-resource-collection>
< url-pattern> /*< /url-pattern>
< http-method> PUT< /http-method>
< http-method> DELETE< /http-method>
< http-method> HEAD< /http-method>
< http-method> OPTIONS< /http-method>
< http-method> TRACE< /http-method>
< /web-resource-collection>
< auth-constraint>
< /auth-constraint>
< /security-constraint>
< login-config>
< auth-method> BASIC< /auth-method>
< /login-config>
4.已解密登录请求
< security-constraint>
< web-resource-collection >
< web-resource-name > SSL< /web-resource-name>
< url-pattern> /*< /url-pattern>
< /web-resource-collection>
< user-data-constraint>
< transport-guarantee> CONFIDENTIAL< /transportguarantee>
< /user-data-constraint>
< /security-constraint>
5.高速缓存的ssl页面
页面添加 < meta http-equiv=" Pragma" contect=" no-cache" >
?6.会话cookie 中缺少HttpOnly 属性
response.addHeader(" Set-Cookie" , " uid=110; Path=/; HttpOnly" );
//设置多个cookie
response.addHeader(" Set-Cookie" , " uid=110; Path=/; HttpOnly" );
response.addHeader(" Set-Cookie" , " timeout=30; Path=/test; HttpOnly" );
//设置https的cookie
response.addHeader(" Set-Cookie" , " uid=110; Path=/; Secure; HttpOnly" );
//csdn博客里面有更多关于appscan扫描报告和修复的详情：http://blog.csdn.net/huoyunshen88/article/details/39181107

appscan查到的漏洞解决方案-java版

推荐阅读

汽车积碳是什么意思

redis多节点同步

27岁有稳定工作,想用20万存款当做第二职业来投资,投资什么好呢？

上海戏剧学院分数线 2019年上海戏剧学院分数线

去加拿大必买清单去加拿大买什么最划算

室内阳台养什么花最好室内阳台适合养什么花好

火理财什么时间可以申请债权转让？债权转让收费吗

塑料菜板发黑怎么办

癌细胞|癌细胞已经转移，为什么人的精神依旧很好，而且很能吃？是好事？

详细步骤及注意事项 g2810加墨水后如何操作

佳能相机7100 佳能7100单反

有什么好看的书推荐？

你喜欢看军事小说吗？

空气阻尼器时间继电器空气阻尼器结构图

2023春节坐高铁需要全程戴口罩吗 2021春节能坐高铁吗

台高官被问“你有接受过性招待吗

农村籍独生子女补贴如何领取？四类人无法领取有你吗？

甲氰菊酯有效是多久甲氰菊酯药效是几天，水里多久失效

c语言连接数据库函数 c语言数据库连接池

有宠app怎么关闭资讯推送通知？有宠app关闭资讯推送通知的方法