如何修复AppScan漏洞_百度知道
如何修复AppScan漏洞
提问者采纳
您好，很高兴能帮助您，你新建测试的时候选择“常规扫描”就可以了，但是这个会有很多问题扫描不出来的，建议还是选择“综合扫描”，如果你选择“快速且简单的扫描”，那只能扫描出一般简单的问题！你可以全部扫描，然后将结果保存，然后针对每个问题，修改之后，再继续扫描！一般要扫描很多变才可以的（每次解决问题之后）你的采纳是我前进的动力，还有不懂的地方，请你继续“追问”！如你还有别的问题，可另外向我求助；答题不易，互相理解，互相帮助！
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁> IBM AppScan在软件开发过程中消除BUG
IBM AppScan在软件开发过程中消除BUGCNET中国·ZOL 作者： 责任编辑：褚士玮 【原创】
&&& IBM在周一发布了一款源代码扫描软件，可以在软件开发过程中检测安全漏洞。
&&& IBM在去年收购了安全软件厂商Watchfire，并夺得了Rational AppScan线的全部技术。
&&& Watchfire的AppScan软件能够在应用程序运行时寻找漏洞，但是要基于该软件的漏洞搜索库。现在IBM增进其功能，使它可以在软件开发过程中寻找缺点。IBM Rational软件部门高级市场经理Scott Hebner说：“我们正在进行技术研发和开发新版本，可以使用户更方便的使用。”
&&& 如果能更容易的修复漏洞，就可以节省研发和维护成本。一个漏洞在程序开发过程中大约要花费25美元来修复，一旦软件正式投入使用就要花费16000美元来修复。
&&& IBM可以用这个漏洞检测工具和其他源码分析厂商竞争，例如Fortify和Ounce。
&&& 通过IDE的一体化源码分析工具，IBM希望开发商能更轻松的使用这些产品。过去开发商刻意避开安全检测工具，因为他们不希望错误被加到IDE里面去。
&&& IBM Appscan的新产品包括开发版本，构建版和测试版，它们在周一正式发布，开发版起始售价2650美元。
&相关阅读：
·德软件开发者否认蓄意植入“心血”漏洞
&&·苹果开发Flashback恶意软件清除工具
&&·软件bug致空客A330两次从巡航高度骤降
&&·加拿大开发黑客软件窃Facebook海量信息
&&·Google将开发第三方程序恶意软件检测功能
给文章打分 5分为满分（共0人参与）
频道热词：&&&&&&
网络安全安全热点
排行 文章标题
TOP10周热门硬盘录像机排行榜
商家报价：
商家报价：
商家报价：
商家报价：
商家报价：
商家报价：
商家报价：
商家报价：
商家报价：
商家报价：
企业人物访谈IBM Bluemix
点击按钮，开始云上的开发！
developerWorks 社区
本文使用两个示例解释了如何使用 IBM Security AppScan Standard Edition 对 Web 和 Web 服务应用程序进行自动的安全漏洞测试。作者还设定了一些示例场景来探讨监管合规性报告功能。
, WebSphere 架构师和认证的 IT 专家, IBM
Bhargav Perepa 是位于华盛顿特区的 IBM Federal Software Group 的 WebSphere 架构师和 IT 专家。他曾经是 IBM Austin WebSphere Development Lab 的 WebSphere 开发人员，并在 IBM 芝加哥积累了一些 Smalltalk 和 C++ 开发经验。Bhargav 拥有芝加哥伊利诺伊理工学院计算机科学硕士学位，以及奥斯汀市德克萨斯大学的 MBA 学位。
, 软件客户端架构师, IBM
Sujatha Perepa 是华盛顿特区的 IBM Federal Sales and Distribution 的一名软件客户端架构师。她是一位高级认证 IT 架构师，国家安全和司法以及各州政府部门的首席架构师。Sujatha 的例行工作是为各联邦机构处理和建议各种安全解决方案。她拥有应用电子方面的双学位和信息系统方面的 MBA 学位（芝加哥 Stuart 商学院）。
下载试用版：
下载更多的 ，并加入 ，参与在线交流。随着全球连接性日益增加，安全风险也在增加 据 IBM® X-Force® 2011 年中趋势与风险报告称，2011 年可谓是 “安全隐患年”，因为在 2001 的上半年就报告了大量的高端安全隐患，其数量可谓史无前例。全球范围内更为互联化、智能化和仪表化且不断扩展的网络世界导致各种风险和危险日益增加，同时管理企业和基础架构方面的网络安全攻击也变得更复杂，更困难。 该报告表明，在 2011 年的上半年，所有漏洞中有 37% 是 Web 应用程序漏洞。无法保护 Web 应用程序的安全可能导致损失惨重，包括财务方面和应用程序的性能方面。大部分基于 Web 的威胁都源自于允许 SQL 注入、跨站脚本 (XSS)、危险的会话信息等的源代码中的代码差异。如果没有执行严格的安全质量保证措施，浏览器的安全性也会轻松受到破坏。如需概览目前的应用程序安全情况，可以下载此报告（请查看
中的链接）。 IBM® Rational® AppScan® 产品系列可自动对 Web 应用程序（Web 服务和 Web 2.0）和富 Internet 应用程序（JavaScript、Ajax 和 Adobe Flash）的 Web 漏洞随时进行安全测试。通过扫描应用程序、确定各种漏洞、生成差异报告，并在 Web 上部署应用程序之前提供补救建议，这种可以随时进行的安全测试方法在应用程序的开发到测试阶段都能提供帮助。 IBM Security AppScan 的各个版本可以满足大中小型开发团队的需求，为您提供了全面的选择范围： Source Edition 专为协助开发团队而定制，在 AppScan Enterprise 的基础上添加了源代码分析和静态应用程序安全测试 (SAST)。Enterprise Edition 是一个通过治理、协作和安全智能实现应用程序安全测试和风险管理的企业级解决方案。AppScan Tester Edition 是一个动态的应用程序安全测试 (DAST) 解决方案，专为使用 Rational Quality Manager 将应用程序安全测试集成到 QA 环境中而设计。 Standard Edition 是一个关键的桌面安全测试工具，主要设计用于实现 Web 漏洞评估自动化。它可生成静态和动态漏洞分析并提供相应的修复建议。 在本文中，我们将探讨 IBM Security AppScan Standard Edition V8.5 的功能，执行自动的 Web 和 Web 服务应用程序安全测试和漏洞测试。我们还会探讨其监管合规性报告功能，这是自动化 Web 和 Web 服务应用程序安全测试和漏洞测试的一部分。 为了探讨 AppScan Standard Edition v8.5 的功能，我们将使用 PlantsByWebSphere v8.0.0.1（Ajax 版本），该应用程序作为一个示例包括在 WebSphere Feature Pack for Web 2.0 and Mobile 版本 1.1.0 中。图 1 显示了该应用程序的启动屏幕。 注意：有关此示例应用程序的详细信息，请参阅
部分中的链接。IBM 提供了 PlantsByWebSphere 及其源代码。该示例应用程序是我们的安全性和漏洞测试练习的理想候选程序，因为它符合应用编程接口 (API) 的要求并且在其设计要求中就没有要求具有强大的安全性。IBM 在其交付的源代码中明确地提供了免责声明。您可轻松配置该示例，并且在探讨 AppScan 的功能时，也可以轻松地重现本文中解释的各个操作步骤。 还提供了图 2 中显示的 HelloWorld JAX-WS Web 服务应用程序，该程序已经部署到 IBM® WebSphere® Application Server v8.0.0.1 运行时，旨在进一步探讨 AppScan Standard Edition v8.5 的功能。HelloWorld JAX-WS 应用程序的业务方法 sayHello() 接受一个 HelloReq 对象并返回一个 HelloResp，同时用个人问候消息来问候已命名的个人。HelloReq 和 HelloResp 对象包含了字符串类型属性，分别用于对名称和响应进行命名。Web 应用程序的自动安全测试和漏洞测试首先，使用如图 3 中所示的 Scan Configuration Wizard 配置一次完整的、全面的 PlantsByWebSphere Web 应用程序扫描。设置扫描配置文件，以揭示此 Web 应用程序的安全漏洞之前，需要确保 WebSphere Application Server v8.0.0.1 已经运行，PlantsByWebSphere 应用程序已部署到运行时并且正在运行，如图 2 所示（pbw-ear 企业应用程序状态在 Application Status 列中显示一个绿色箭头）。 启动 IBM Security AppScan Standard Edition v8.5。选择 File & New。此 New Scan 对话框窗口（图 3）描述了针对各种预定义模板的基于向导的扫描。
对于此示例，我们选择了 Comprehensive 扫描，如表 1 所示，该设置指定了给定 URL 处的 Web 应用程序、自动登录（使用所需的凭据）并执行完全扫描。启动 Scan Configuration Wizard 并指定表 1 中所列的选项。表 1. 扫描配置选项，PlantsByWebSphere Web
应用程序扫描扫描配置选项指定的配置 1
Predefined Template
Comprehensive scan
Type of Scan
Web application scan
Starting URL for Scan
http://localhost:9085/PlantsByWebSphere/orderdone.jsf
Login Method
Login Credentials
User name: plants@ Password: plants
Test Policy
Scan Start Method
Start a full automatic scan 注意：根据您的安装和设置情况，主机命、端口号和用户凭据可能有所不同。 现在选择表 2 中所列的环境设置定义。 表 2. 环境设置定义，PlantsByWebSphere数据表示例扫描环境设置定义指定的设置定义 1
Operating System (of site being scanned)
Web server
IBM HTTP Server
Application Server (if any)
Type of Database (if any)
Third-Party Component (if any)
Not Defined
Location of Site
Type of Site
Deployment Method
Internally
Collateral Damage Potential
Low Medium
Target Distribution
Confidentiality Requirement
Integrity Requirement
Availability Requirement
Medium 图 4 展示了为扫描配置指定的环境定义。 这是 Microsoft Windows 的设置。应用程序在 WebSphere Application Server 上运行并且使用 DB2 默认数据库。 让 AppScan 执行全面的安全和漏洞测试扫描。 如图 5 所示，在 AppScan 完成全面的安全和漏洞扫描后，会得到了一组安全建议，例如问题总数 (54)，高 (12)、中
(2)、低 (40) 和信息安全问题 (0)。可从三种不同的观点评估这些问题：安全问题补救任务应用程序数据注意，可根据严重性来排列这些建议（升序或降序），并且有一个仪表板可用图表方式来表示各个漏洞。 单击 AppScan 桌面上的 Report 按钮生成一个全面的报告。了解 AppScan 应用程序中提供的各种报告模板。下面所列的类别中提供了多个可自定义的报告模板：Security Report 提供了一个已发现问题的列表 Industry Standard 报告提供了有关应用程序兼容性和不兼容性的信息 Regulatory Compliance 报告说明了与各种法律标准的合规情况（参阅 “注意” 内容） Delta Analysis 报告包含了不同扫描之间发现的变更信息。该报告对于渐进式扫描很有用，这样可揭示已修复的漏洞、尚未修复的漏洞以及在新扫描中首次发现的漏洞。 Template-based 报告，您可使用模板在该报告中定义数据，并进行 Microsoft Word .doc 风格的文档格式化。 注意：Regulatory Compliance。其中包含了 40 个或更多的合规性报告，包括 PCI Data Security Standard、Payment Applications Data Security (PA-DSS)（新）、ISO 27001 和 ISO 27002（新）以及 Basel II。 图 6 展示的示例基于 (Custom Template) 报告创建一个可自定义（报告创建者指定报告选项）的模板。 重要信息：请参阅
部分，了解此扫描生成的汇总报告：AppScanPlantsByWebSphere_Scanned_Summary_Security_Report.pdf。Web 服务应用程序的自动安全测试和漏洞测试 提示：探索开放式 Web 应用程序安全项目 (OWASP) 网站对您会很有帮助，该网站提供了有关 Web 安全性的更多信息、高危漏洞的列表和修复提示等内容（请参阅
中的链接）。OWASP 网站还有一个页面专门介绍不同类别的漏洞，如身份验证、加密、日志记录和会话管理。 现在可以配置一次完整的、全面的 HelloWorld Web 服务应用程序扫描了。开始设置新的扫描配置文件来揭示此 Web 应用程序的安全漏洞之前，请确保 WebSphere Application Server v8.0.0.1 已经运行，HelloWorld Web 服务应用程序已部署到运行时并且正在运行，如
中所示（HelloWorld_V1EAR 企业应用程序状态在 Application Status 列中显示一个绿色箭头）。启动 IBM Security AppScan Standard Edition v8.5。选择 File & New& Predefined Templates & Comprehensive Scan。启动 Scan ConfigurationWizard 并指定表 3 中所列的选项。参见图 7。 表 3. 扫描配置选项，HelloWorld Web 服务应用程序扫描选项指定的扫描配置选项 1
Predefined template
Comprehensive scan
Type of scan
Web service scan
Location of WSDL service
Generic service client
Test only 现在指定 中所列的环境设置定义。让 AppScan 执行全面的安全漏洞测试扫描。图 8 显示了成功完成扫描后的结果。完成扫描并确定问题后，AppScan 按照高、中、低或者信息严重性级别来分类这些问题，并在 4 个选项卡中展示扫描结果。这些选项卡分别是 Issue Information、Advisory、Fix Recommendation 和 Request/Response。这些选项卡中包含以下内容：有关所确定问题的详细信息、与所确定问题有关的 URL、所确定问题可能带来的风险、缓解问题或漏洞所带来的风险的建议，以及原始的请求/响应交换信息。运行扫描时，一个进度面板会实时显示当前的扫描阶段，以及 URL 和已完成的百分比。可以启用多阶段扫描，这样可扫描主 URL 中包含的多个 URL。此时，状态栏中显示了已访问的 URL 的状态、已扫描完成的数目等。您可以设置是自动运行这些扫描一次，还是定期运行它。 接下来使用自定义报告模板和
中显示的所选选项生成一个自定义报告。 请参阅
部分，获得已生成的总结报告：
AppScanHelloWorldWebService_Scanned_Summary_Security_Report.pdf建议的扫描实践您可以自定义这些 AppScan 应用程序配置参数，以避免因为 AppScan 使用过量内存而导致的问题，这种问题可能导致所有数据丢失：PerformanceMonitor.RestartOnOutOfMemoryPerformanceMonitor\minScanTimeDurationForRestart单击 Tools & Options & Advanced 选项卡。将 Preference Name 列中所列的这两个参数的值改为：PerformanceMonitor.RestartOnOutOfMemory=TruePerformanceMonitor\minScanTimeDurationForRestart=30（分钟）这些自定义参数可在内存使用量太高时或者由于虚拟内存不足导致扫描结束时自动重新启动 AppScan。如需详细信息，请参见
部分中的链接。参见
了解有关的详情。结束语您已经成功配置了 IBM Security AppScan Standard Edition v8.5 自动执行 PlantsByWebSphere Web 和 HelloWorld Web 服务应用程序安全漏洞测试。另外，还使用预配置的或自定义的报告模板成功生成了详细的漏洞和修补方法报告。参见
部分中的链接，了解有关提高 WebSphere Application Server 运行时环境安全性的更多信息。 部分包含了一个安装指南、已生成的报告、扫描导出文档、TechNote 和本文中使用的示例应用程序。作者衷心感谢 IBM Rational 软件部应用安全与合规性市场经理 Karl Snider 提供的帮助。Karl 对本文进行了详细的技术审校，提供了一些富有建设性、有见地的意见，帮助作者提高了本文的质量和通用性。
下载描述名字大小Plants 汇总安全报告148KBHello World 汇总安全报告148KBIBM Security AppScan 技术说明 88KBHello World12KB
参考资料 本文中所述信息的链接： 下载 IBM X-Force 2011 年中趋势报告和风险报告，。访问
(OWASP)，特别是
分类。 访问 IBM Security AppScan Standard Edition - 用于高级 Web 应用程序安全扫描的 IBM Security AppScan 版本 - http://www-/software/awdtools/appscan/standard/如果 IBM Security AppScan 停止运行并显示 “AppScan has reached its
predefined memory limit” 消息，请阅读此 。参考 ，了解有关本文所用示例应用程序的更多信息。阅读
和 ，查找您最感兴趣的版本。 探索
演示网站，其中展示了
的应用程序漏洞扫描功能。
访问 ，了解 Rational Software
Delivery Platform 产品的技术资源和最佳实践。随时关注 ，了解各种 IBM 产品和 IT 行业主题。 参加 ，最快获得有关 IBM 产品和工具以及 IT 行业趋势的信息。 查看 ，那里提供了面向初学者的产品安装和设置演示，以及面向高级开发人员的高级功能。 提升您的技能。查阅
目录，其中包含有关各种主题的许多类型的课程。您可以随时随地学习它们，许多 “入门” 课程都是免费的。，立即试用。 以最适合您的方式 ：下载它以试用、在线试用它、在云环境中使用它，或者在
中花几小时学习如何高效地实现面向服务的架构。加入
和 ，参与讨论或询问问题。
Rational 软件。以这种方式进行评分或评论既快又简单。 ，以分享您的知识和为其他使用 Rational 软件的人提供帮助。了解
和如何继续写出好文章。在 、 (@ibmrational) 和
上关注 Rational 软件，添加您的评论和请求。 加入 、
和 ，询问和回答问题，并提高您的专业技能。与思想领袖进行交流。加入 ，分享 Rational 软件知识并与同行进行交流。
developerWorks: 登录
标有星（*）号的字段是必填字段。
保持登录。
单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件。
在您首次登录 developerWorks 时，会为您创建一份个人概要。您的个人概要中的信息（您的姓名、国家/地区，以及公司名称）是公开显示的，而且会随着您发布的任何内容一起显示，除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。
所有提交的信息确保安全。
选择您的昵称
当您初次登录到 developerWorks 时，将会为您创建一份概要信息，您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。昵称长度在 3 至 31 个字符之间。
您的昵称在 developerWorks 社区中必须是唯一的，并且出于隐私保护的原因，不能是您的电子邮件地址。
标有星（*）号的字段是必填字段。
(昵称长度在 3 至 31 个字符之间)
单击提交则表示您同意developerWorks 的条款和条件。 .
所有提交的信息确保安全。
文章、教程、演示，帮助您构建、部署和管理云应用。
立即加入来自 IBM 的专业 IT 社交网络。
为灾难恢复构建应用，赢取现金大奖。
static.content.url=/developerworks/js/artrating/SITE_ID=10Zone=RationalArticleID=847308ArticleTitle=使用 IBM Security AppScan 进行自动化 Web 应用程序漏洞扫描publish-date=IBM Rational AppScan Enterprise SQL注入漏洞(CVE-)_Linux安全_Linux公社-Linux系统门户网站
你好，游客
IBM Rational AppScan Enterprise SQL注入漏洞(CVE-)
来源：Linux社区&
作者：Linux
发布日期：更新日期：
受影响系统：IBM Rational AppScan 8.x&IBM Rational AppScan 5.x描述：--------------------------------------------------------------------------------BUGTRAQ& ID: 58686&CVE(CAN) ID: CVE-&IBM Rational AppScan是应用安全性软件，能够在开发的各个阶段扫描并测试所有常见的Web应用漏洞。&IBM Rational AppScan Enterprise 8.6 - 8.6.0.2没有正确过滤SQL查询内使用的某些输入，可导致SQL注入漏洞。&&*来源：vendor&
链接：http://www-/support/docview.wss?uid=swg&myns=swgrat&mynp=OCSSPH29&mync=A& & & &
/en/advisories/52764& & & &
/advisories/52764/&*&
建议：--------------------------------------------------------------------------------厂商补丁：&IBM&---&目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：&
相关资讯 & & &
& (03/26/:27)
& (09/03/:47)
图片资讯 & & &
　　　同意评论声明
　　　发表
尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款[AppScan深入浅出]修复漏洞：会话标识未更新（中危）
关于&会话标识未更新&，其实我觉得应该是颇有争议的，为何登录后不更新会话标识就会存在危险，是不是担心读取到旧会话中存在Session的取值呢？这个恕我不懂。
关于的产生
&会话标识未更新&是中危漏洞，AppScan会扫描&登录行为&前后的Cookie，其中会对其中的JSESSIONOID（JSP）或者 ASP.NET_SessionId（ASP）进行记录。在登录行为发生后，如果cookie中这个值没有发生变化，则判定为&会话标识未更新&漏洞。
JSP的修复方法可参考这位大侠的文章，我个人没有确认过：&/Article/227.html
ASP的修复方法可以参考以下代码，在登录按钮点击后，确认登录前，加入3行代码对Cookie进行清空已达到重置SessionId的效果。
protected void btnLogin_Click(object sender, EventArgs e)
& & //重置SessionId
& & Session.Clear();
& & Session.Abandon();
& & Response.Cookies.Add(new HttpCookie(&ASP.NET_SessionId&, &&));&
& & //登录判断
& & if (check(txtName.Text,txtPassword.Text))
& & &FormsAuthentication.SetAuthCookie(&admin&, false);
& & &Response.Redirect(&Default.aspx&);
AppScan中，对&会话标识未更新&也提供了修改建议：
一般修订建议 始终生成新的会话，供用户成功认证时登录。防止用户操纵会话标识。请勿接受用户登录时所提供的会话标识
使用代码前
使用代码后
为何会产生漏洞
有人会问这个漏洞为何会产生? 为什么有的站点会出现,有的站点没有使用代码却又不会出现。写在最后，我提供一个思路，这样才是深入浅出的研究问题：
有时候网站登录页面，并不会立刻产生SessionId，例如我写的登录页面，页面中是不会出现ASP.NET_SessionId：（使用Chrome+Edit This Cookie插件）
登录后才会出现ASP.NET_SessionId，另一个是登录代码中增加的验证Cookie。
但是当我在登录页加载之前，添加了信息在用户Session中（例如为了添加图形验证码的需要），这时候登录页加载的时候就会产生SessionId
protected&void&Page_Load(object&sender, EventArgs e)&
&&Session[&useless&] = 1;
一旦登录前就有SessionId，那么AppScan就有了可以比较的SessionId，在登录后比较SessionId的变化，那么也就会产生&会话标识未更新&漏洞。
写在最后的最后，&会话标识未更新&的危害，在于攻击者通过某种方式（如XSS）将自己的Id置入了被攻击者的浏览器，将会话标识改为某个攻击者预设的值，被攻击者正常登陆，若服务器接收了这个预设值，那么相当于攻击者获得了被攻击者登录后的权限，因此才要求在登录时更新会话标识