基于appscan测试结果分析：

一、XSS跨站脚本

指的是攻击者往Web页面里插入恶意html代码，通常是JavaScript编写的恶意代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。是最常见的Web应用程序安全漏洞之一

JavaScript可以用来获取用户的cookie、改变网页内容、URL调转，存在XSS漏洞的网站，可以盗取用户cookie、黑掉页面、导航到恶意网站

攻击的主要途径:

1.对普通的用户输入，页面原样内容输出

2.在代码区里有用户输入的内容(代码区中，绝对不应含有用户输入的东西)

3.允许用户输入HTML标签的页面

攻击解决办法：（过滤输入和转义输出） 

1.在输入方面对所有用户提交内容进行可靠的输入验证，不要信赖客户输入（URL、查询关键字、http头、post数据等）

2.在输出方面，在用户输内容中使用<XMP>标签。标签内的内容不会解释，直接显示。

3.严格执行字符输入字数控制。

4.在脚本执行区中，绝不可以让用户输入

Eg：

1、用户名、密码等敏感输入字段未经加密就进行了传递

整改建议：在被测应用与服务器交互过程中，对密码等敏感信息进行加密传输。

2. 未对用户输入正确执行危险字符清理

整改建议：在被测应用与服务器交互过程中，对所有用户提交内容进行可靠的输入验证或编码。

二、URL 重定向包含网络钓鱼

重定向：客户端跳转之后浏览器URL改变，并且服务器无法传递参数。客户端跳转通常会使用response.sendRedirect()方法，也可以使用JavaScript跳转

攻击预防：

1.严格判断包含中的参数是否外部可控

2.路径限制：限制被包含的文件只能在某一文件夹内，一定要禁止目录跳转字符

3.包含文件验证：验证被包含的文件是否是白名单中的一员

4.尽量不要使用动态包含，可以在需要包含的页面固定写好

Eg：

1、Web 应用程序执行指向外部站点的重定向

整改建议：在被测应用与服务器交互过程中，参数外部不可控或可控禁止目录跳转字符或加密。

三、注销后会话未失效

测试响应与原始有效响应完全相同，注销后仍有可能访问受保护资源，用的是“会话固定”技术，会强制用户的会话标识变成显式值

Eg：

1.用户注销时使相关会话标识失效

手工验证：退出系统后，点击浏览器上的后退按钮，看是否可以退到系统中。

整改建议：注销后，浏览器后退按钮改为不可用或设session失效。

四、会话标识未更新

“会话标识未更新”是中危漏洞，AppScan会扫描“登录行为”前后的Cookie，会对其中的JSESSIONOID（JSP）或者 ASP.NET_SessionId（ASP）进行记录。在登录行为发生后，如果cookie中这个值没有发生变化，则判定为“会话标识未更新”漏洞

攻击方式：

在于攻击者通过某种方式（如XSS）将自己的Id置入了被攻击者的浏览器，将会话标识改为某个攻击者预设的值，被攻击者正常登陆，若服务器接收了这个预设值，那么相当于攻击者获得了被攻击者登录后的权限。

攻击预防：

1.始终生成新的会话，供用户成功认证时登录。

2.防止用户操纵会话标识。不要接受用户浏览器登录时所提供的会话标识

3.在登录按钮点击后，确认登录前，加入3行代码对Cookie进行清空已达到重置SessionId的效果。

protected void btnLogin_Click(object sender, EventArgs e)

{

//重置SessionId

Session.Clear();

Session.Abandon();

Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

//登录判断

if (check(txtName.Text,txtPassword.Text))

{

FormsAuthentication.SetAuthCookie("admin", false);

Response.Redirect("Default.aspx");

}

Eg：

1.登录之后未更改会话标识符值

手工验证：用fiddler抓取登录前后的包。对比两边的cookie值。如相同，则存在漏洞，如不同，则无漏洞。

整改建议：在被测应用与服务器交互过程中，不要采用登录前的cookie值，要更新。

五、CSRF漏洞

CSRF：是指跨站请求伪造，攻击者在用户未察觉的情况下，迫使用户的浏览器发起未预见的请求，其结果往往损害用户本身的利益。CSRF攻击大多利用web应用的XSS漏洞，也有很多CSRF攻击没有利用XSS而是利用了HTML标签的特性

当网站同时存在XSS、CSRF漏洞时，Token防御机制将会失效，攻击者可以通过JavaScript获取Token值

攻击预防：

1.使用post，不使用get修改信息

2.二次确认

3.Token认证

Eg：

1. 应用程序使用的认证方法不充分

手工验证：burpsuite抓包，修改包后发送，看服务器返回是否为200。若为200，则存在漏洞。

整改建议：在被测应用与服务器交互过程中，二次确认。

六、SQL注入

注入：往往是应用程序缺少对输入进行安全性检查所引起的，攻击者把一些包含指令的数据发送给解释器，解释器会把收到的数据转换成指令执行

注入漏洞分类：数字型和字符型

攻击者对数据库注入归为：

查询数据

读写文件

执行命令

防止SQL注入：

1、严格的数据类型

2、特殊字符转义

3、使用预编译语句

4、框架技术

5、存储过程

七、上传漏洞

上传漏洞与注入相比，风险更大，只要Web应用程序可以上传文件，就有可能存在文件上传漏洞

上传漏洞形成：

1.目录过滤不严，攻击者可能建立畸形目录

2.文件未重名，攻击者可能利用Web容器解析漏洞

防止上传漏洞：

客户端检测：客户端使用javascript检测，在文件未上传时，就对文件进行验证

服务器端检测：服务端脚本一般会检测文件的MIME类型，检测文件扩展名是否合法，是否嵌入恶意代码

八、已解密的登录请求

整改建议：通过SSL传输密码或用MD5加密

九、不充分的账户*

手工验证：在输入正确账号后，多次输入错误密码。看账号是否会被封。

整改建议：错误登录次数设置。

十、登录错误消息枚举

手工验证：输入错误登录名或密码、看系统给出的错误提示是否一样。若一样，则无该漏洞。若不同，则存在漏洞。

整改建议：将输入错误用户名或密码的提示语设置相同。