Niedawno przejąłem aplikację, a ostatnio zrobiliśmy appscan i dostałem przedmiot oznaczony jako wrażliwy. Zadaniem remediacji, które sugerował raport, było odrzucenie złośliwych żądań. Raport mówi AppScan próbowałem:Odrzucanie złośliwych żądań
Następujące zmiany zostały zastosowane do pierwotnego wniosku: zestaw nagłówek HTTP „http://bogus.referer.ibm.com”
miałem ten oznaczony 1 raz wpadliśmy AppScan i umieścić kod do sprawdź, czy jest dostępny adres URL, jeśli tak, upewnij się, że jest taki sam, jak host w adresie URL, w przeciwnym razie zabij sesję użytkownika i przekieruj do strony logowania. Ponownie uruchomiliśmy appscan i zostało ponownie zgłoszone, nie jestem pewien jak sobie z tym poradzić.
Kiedy patrzę na raport, pokazuje go włożonego fałszywego referrer, serwer odpowiedział statusem 302, przekierowaniem, a następnie wysłano żądanie logowania, na które serwer odpowiedział 202, podając go. Rozumowanie AppScan mówi:
To samo żądanie zostało wysłane dwa razy w różnych sesjach i otrzymano tę samą odpowiedź. To pokazuje, że żaden z parametrów nie jest dynamiczny (identyfikatory sesji są wysyłane tylko w plikach cookie ) i dlatego aplikacja jest podatna na ten problem.
Ale czy odpowiedź nie zawsze byłaby taka sama? Jeśli kontrola nie powiedzie się, a 302, a następnie 202, pojawi się strona przekierowania i logowania, niezależnie od użytkownika. Czy ktoś wie, jak sobie z tym poradzić? Zgaduję, że mogłem umieścić identyfikator sesji użytkownika w przekierowanym adresie URL, więc appscan zobaczy, czy jest inny, ale pomyślałem, że musi być inny sposób.
To jest aplikacja .net 4. Użytkownicy są śledzeni za pomocą obiektu Session, jeśli to ma znaczenie, Uwierzytelnianie formularzy nie było używane.
Co to jest "appscan"? – spender
Uważam, że: http://www-01.ibm.com/software/awdtools/appscan/ – Darren
W przeciwieństwie do witryn z forum, nie używamy "Dziękuję" ani "Każda pomoc doceniona" lub podpisy na [so] . Zobacz sekcję "[Powinieneś" Cześć "," dziękuję ", slogany i pozdrowienia z postów?] (Http://meta.stackexchange.com/questions/2950/should-hi-thanks-taglines-and-salutations-be - usunięto z postów). –