（轉）IBM Appscan9.0.3安全掃描簡單安裝、使用以及高危漏洞修復

最近手上負責一個的項目要進行等保評測。請的第三方公司採用IBM Security AppScan Standard對項目進行安全測試。測試報告高危漏洞主要包含sql注入、sql盲注、跨站點腳本編制以下圖

AppScan破解版安裝

首先下載

http://pan.baidu.com/s/1slmcHzR 密碼: xtyf

直接點擊AppScan_Std_9.0.3.5_Eval_Win.exe安裝

安裝成功以後把LicenseProvider.dll拷貝到AppScan安裝目錄。覆蓋原來的LicenseProvider.dll

好比個人目錄是C:\Program Files (x86)\IBM\AppScan Standard

運行AppScan

接下來構建一個簡單的掃描任務

選擇常規掃描，而後一直「下一步「，配置項目URL

登陸管理配置，輸入你要測試項目的用戶名與密碼可以成功登陸就行。這裏的掃描的項目最好是在測試環境進行

成功登陸測試項目以後AppScan會記錄登陸

而後一直點擊下一步直到完成

環境定義根據本身的實際狀況來設定

定義好環境點擊掃描選擇繼續徹底掃描

至此就默默的等待就OK拉。等掃描完成以後點擊報告生成PDF就知道本身的項目存在多少漏洞。

 

LZ針對掃描的高危漏洞主要修改策略：

一、配置https

二、過濾危險字符

三、配置http-only

四、請求方式更改成post

對於危險字符過濾，能夠參考如下過濾邏輯

import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;


import org.apache.commons.lang.StringUtils;


/**
 * ClassName: XssShieldUtil 
 * @Description: 處理非法字符
 * @author JornTang
 * @date 2017年9月6日
 */
public class XssShieldUtil {


    private static List<Pattern> patterns = null;
    private static List<Pattern> sqlPatterns = null;
    /**
     * @Description: 獲取正則表達式
     * @return   
     * @return List<Object[]>  
     * @throws
     * Pattern.CASE_INSENSITIVE 默認狀況下，大小寫不敏感的匹配只適用於US-ASCII字符集。這個標誌能讓表達式忽略大小寫進行匹配
     * Pattern.MULTILINE 在這種模式下，'^'和'$'分別匹配一行的開始和結束。此外，'^'仍然匹配字符串的開始，'$'也匹配字符串的結束默認狀況下，這兩個表達式僅僅匹配字符串的開始和結束。
     * Pattern.DOTALL 在這種模式下，表達式'.'能夠匹配任意字符，包括表示一行的結束符。默認狀況下，表達式'.'不匹配行的結束符
     * @author JornTang
     * @date 2017年9月6日
     */
    private static List<Object[]> getXssPatternList() {
        List<Object[]> ret = new ArrayList<Object[]>();
        //xss腳本編制過濾
        ret.add(new Object[]{"<(no)?script[^>]*>.*?</(no)?script>", Pattern.CASE_INSENSITIVE});
        ret.add(new Object[]{"(eval\\(\\(.*?\\)\\)|eval\\(.*?\\)|eval|function|aegncy|script)+", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"expression\\(\\(.*?\\)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"(javascript:|vbscript:|view-source:|valueOf:.*?)+", Pattern.CASE_INSENSITIVE});
        ret.add(new Object[]{"(window\\.location|window\\.|\\.location|document\\.cookie|document\\.|alert\\(.*?\\)|window\\.open\\(|window\\[.*?\\])+", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"<+\\s*\\w*\\s*(src|oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|onerror=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"(src|oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|onerror=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        return ret;
    }
    /**
     * @Description: 獲取sql注入正則表達式
     * @return   
     * @return List<Object[]>  
     * @throws
     * @author JornTang
     * @date 2017年9月20日
     */
    private static List<Object[]> getSqlPatternList() {
        List<Object[]> ret = new ArrayList<Object[]>();
        //sql注入特殊字符過濾
        //|chr|mid|char|use|net
        ret.add(new Object[]{"(and |exec |execute |insert |select |create |delete |update |table |master |truncate |declare|sitename|substr\\(|drop table| count\\(| from )+", Pattern.CASE_INSENSITIVE});
        ret.add(new Object[]{"(xp_cmdshell| like |grant |group_concat |column_name |information_schema.columns)+", Pattern.CASE_INSENSITIVE});
        ret.add(new Object[]{"(table_schema|union |union all |where |order by|truncate |declare |or )+", Pattern.CASE_INSENSITIVE});
        return ret;
    }
    public static void main(String[] args) {
        boolean value = false;
        value = XssShieldUtil.stripXss("eval()");
        System.out.println("type-1: '" + value + "'");
    }
    /**
     * @Description: 獲取sql注入patterns
     * @return   
     * @return List<Pattern>  
     * @throws
     * @author JornTang
     * @date 2017年9月20日
     */
    private static List<Pattern> getSqlPatterns(){
    if (sqlPatterns == null) {
            List<Pattern> list = new ArrayList<Pattern>();
            for(Object[] arr : getSqlPatternList()) {
                String regex = (String)arr[0];
                Integer flag = (Integer)arr[1];
                list.add(Pattern.compile(regex, flag));
            }
            sqlPatterns = list;
        }
        return sqlPatterns;
    }
    private static List<Pattern> getPatterns() {


        if (patterns == null) {


            List<Pattern> list = new ArrayList<Pattern>();


            String regex = null;
            Integer flag = null;
            int arrLength = 0;


            for(Object[] arr : getXssPatternList()) {
//                arrLength = arr.length;
//                for(int i = 0; i < arrLength; i++) {
//                    
//                }
            regex = (String)arr[0];
                flag = (Integer)arr[1];
                list.add(Pattern.compile(regex, flag));
            }


            patterns = list;
        }


        return patterns;
    }
    /**
     * @Description: 檢測sql注入特殊字符
     * @param value
     * @return   
     * @return boolean  
     * @throws
     * @author JornTang
     * @date 2017年9月20日
     */
    public static boolean stripSql(String value){
    boolean flag= false;
    if(StringUtils.isNotBlank(value)) {


             Matcher matcher = null;


             for(Pattern pattern : getSqlPatterns()) {
                 matcher = pattern.matcher(value);
                 // 匹配
                 boolean ism= matcher.find();
                 if(ism) { 
                flag= true;
                    break;
                 }
             }
         }
    return flag;
    }
    public static boolean stripXss(String value) {
    boolean flag= false;
        if(StringUtils.isNotBlank(value)) {


            Matcher matcher = null;


            for(Pattern pattern : getPatterns()) {
                matcher = pattern.matcher(value);
                // 匹配
                boolean ism= matcher.find();
                if(ism) { 
                flag= true;
                    break;
                    // 刪除相關字符串
                    //value = matcher.replaceAll("");
                }
            }


            //value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        }


//      if (LOG.isDebugEnabled())
//          LOG.debug("strip value: " + value);


        return flag;
    }
}

一旦發現用戶輸入包含以上規則，直接返回響應。提示用戶存在危險輸入，禁止操做

以上修改基本測試不會再出現高危漏洞