मैंने हाल ही में एक आवेदन लिया है और हमने हाल ही में एक ऐपकेन किया है और मुझे एक आइटम को कमजोर के रूप में चिह्नित किया गया है। सुझाव दिया गया उपचार उपचार दुर्भावनापूर्ण अनुरोधों को अस्वीकार करना था। रिपोर्ट में कहा गया AppScan की कोशिश की:दुर्भावनापूर्ण अनुरोधों को कैसे अस्वीकार करें
निम्न परिवर्तन मूल अनुरोध करने के लिए लागू किया गया: मैं इस 1 बार हम AppScan भाग गया चिह्नित किये था 'http://bogus.referer.ibm.com'
को सेट HTTP हेडर, और करने के लिए कोड डाल जांचें कि क्या urlreferer प्रदान किया गया है, यदि ऐसा है तो सुनिश्चित करें कि यह यूआरएल में मेजबान जैसा ही है, अन्यथा उपयोगकर्ता के सत्र को मार दें और लॉगिन पेज पर रीडायरेक्ट करें। हम फिर से एप्सकेन चलाए और इसे फिर से ध्वजांकित कर दिया गया, मुझे यकीन नहीं है कि इसे कैसे संभाला जाए।
जब मैं रिपोर्ट को देखता हूं, तो यह दिखाता है कि यह फर्जी रेफरर में डाल दिया गया है, सर्वर ने 302 स्थिति, रीडायरेक्ट के साथ जवाब दिया है, और फिर उस लॉगिन के लिए अनुरोध किया गया था जिस पर सर्वर ने 202 के साथ जवाब दिया था। एप्सकेन तर्क कहता है:
उसी अनुरोध को विभिन्न सत्रों में दो बार भेजा गया था और वही प्रतिक्रिया प्राप्त हुई थी। इससे पता चलता है कि कोई भी पैरामीटर गतिशील नहीं है (सत्र पहचानकर्ता केवल कुकीज में भेजे जाते हैं) और इसलिए यह एप्लिकेशन इस समस्या के लिए कमजोर है।
लेकिन प्रतिक्रिया हमेशा एक जैसी नहीं होगी? यदि चेक 302 के बाद 302 विफल रहता है, तो उपयोगकर्ता के बावजूद, एक रीडायरेक्ट और लॉगिन पृष्ठ आता है। क्या किसी को यह पता है कि इसे कैसे संभालना है? मुझे लगता है कि मैं उपयोगकर्ता की सत्र आईडी को रीडायरेक्ट यूआरएल में डाल सकता हूं ताकि ऐपस्कैन अलग-अलग दिखाई दे, लेकिन मैंने सोचा कि एक और तरीका होना चाहिए।
यह एक .NET 4 एप्लिकेशन है। उपयोगकर्ताओं को सत्र ऑब्जेक्ट के साथ ट्रैक किया जाता है, यदि यह मायने रखता है, तो फॉर्म प्रमाणीकरण का उपयोग नहीं किया गया था।
"एप्सकेन" क्या है? – spender
यह मुझे लगता है: http://www-01.ibm.com/software/awdtools/appscan/ – Darren
फ़ोरम साइट्स के विपरीत, हम "धन्यवाद" या "किसी भी सहायता की सराहना नहीं करते हैं", या हस्ताक्षर [so] । देखें "[चाहिए 'हाय', 'धन्यवाद,' टैगलाइन, और नमस्कार पदों से हटा दिए जाएंगे?] (Http://meta.stackexchange.com/questions/2950/should-hi-thanks-taglines-and-salutations-be -Removed-से-पोस्ट)। –