我最近接管了一個應用程序,最近我們做了一個應用程序掃描,並且我找到了一個標記爲易受攻擊的項目。報告建議的補救任務是拒絕惡意請求。報告稱AppScan的嘗試:如何拒絕惡意請求
了以下更改應用到原始請求:設置HTTP頭爲「http://bogus.referer.ibm.com」
我有這個標記,我們跑了AppScan的第一時間,把代碼檢查是否提供了urlreferer,如果是,請確保它與url中的主機相同,否則殺掉用戶的會話並重定向到登錄頁面。我們再次運行appscan,並再次被標記,我不知道如何處理。
當我查看報告時,它顯示它放在僞引用者中,服務器以302狀態進行響應,重定向,然後請求放入登錄名,服務器用202響應,提供它。 Appscan推理說:
在不同的會話中發送兩次相同的請求,並收到相同的響應。 這表明沒有任何參數是動態的(會話標識符僅在 Cookie中發送),因此應用程序容易受到此問題的影響。
但是答案總是不一樣嗎?如果檢查失敗了302,然後202,重定向和登錄頁面出現,無論用戶。有誰知道如何處理這個?我猜我可以將用戶的會話ID放入重定向url中,這樣appscan會看到是否有不同,但我認爲必須有另一種方式。
這是一個.net 4應用程序。用戶通過Session對象進行跟蹤,如果這很重要,則不使用表單身份驗證。
什麼是「appscan」? – spender 2013-04-30 20:11:41
我認爲:http://www-01.ibm.com/software/awdtools/appscan/ – Darren 2013-04-30 20:22:59
與論壇網站不同,我們不使用「謝謝」或「任何幫助表示讚賞」,或在[so]上簽名, 。請參閱「[應該'嗨','謝謝',標語和致敬從帖子中刪除?](http://meta.stackexchange.com/questions/2950/should-hi-thanks-taglines-and-salutations-be -removed - 從 - 個)。 – 2013-04-30 20:29:03