最近、私は最近アプリケーションを引き継いだが、最近私たちはappscanを実行し、脆弱とマークされたアイテムを手に入れた。レポートが示唆した修復作業は、悪質な要求を拒否することでした。次の変更は、元の要求に適用された悪意のあるリクエストを拒否する方法
:レポートは、AppScanのが試みた「http://bogus.referer.ibm.com」
に設定HTTPヘッダー私は、これは我々がAppScanの走った1回目のフラグが立てられていた、とにコードを置きますurlrefererが提供されているかどうかを確認し、そうであればurlのホストと同じであることを確認し、そうでなければユーザーのセッションを終了してログインページにリダイレクトします。私たちはもう一度appscanを実行し、再びフラグが立てられました。私はこれをどのように処理するか分かりません。
レポートを見ると、偽の参照元に表示され、サーバーは302のステータスで応答し、リダイレクトされ、サーバーが202で応答したログインの要求が入力されます。 Appscanの推論は:
同じリクエストが異なるセッションで2回送信され、同じ応答が受信されました。 これは動的パラメータ(セッション識別子は のCookieでのみ送信される)であるため、アプリケーションがこの問題に対して脆弱であることを示していません。
しかし、応答は常に同じではないでしょうか?チェックが失敗して302に続いて202になると、ユーザーに関係なく、リダイレクトとログインページが表示されます。誰もこれを処理する方法を知っていますか?私は、ユーザーのセッションIDをリダイレクトURLに入れることができると推測しています。そのため、appscanは異なるものとして表示されますが、別の方法が必要であると考えました。
これは、.NET 4のアプリケーションです。ユーザーがセッションオブジェクトで追跡される場合は、フォーム認証が使用されませんでした。
「appscan」とは何ですか? – spender
この私は思う:http://www-01.ibm.com/software/awdtools/appscan/ – Darren
フォーラムのサイトとは異なり、我々は[そう]に「感謝」、または「すべてのヘルプ感謝」、または署名を使用しないでください。 「[ハイ、感謝、タグライン、挨拶を投稿から削除する](http://meta.stackexchange.com/questions/2950/should-hi-thanks-taglines-and-salutations-be」を参照してください。 〜から削除された投稿)。 –