APPSCAN扫描跨站点请求伪造

ll2017 · 发表于 2019-10-11 17:06:19

使用了IBM APPSCAN V9.0.3.12对应用系统进行了安全扫描，通过扫描发现有下图的漏洞请问怎么修补？

跨站点请求伪造

ll2017 · 发表于 2019-10-11 17:09:58

本帖最后由 ll2017 于 2019-10-11 17:19 编辑

UI\system\service\common\dsrc目录下BizAction.java文件中已对doPost及doGet方法的request进行过过滤判断，但还有部分跨站点漏洞存在
protected void doPost(HttpServletRequest request,
                     HttpServletResponse response) throws ServletException, IOException {
            String failPage ="/error.jsp";//发生注入时，跳转页面
            //跨站点伪造
            String fullurl = request.getHeader("Referer");
            if(fullurl != null){
                     String[] referer = fullurl.split("/"); //请求来源全路径
                  String serverName = request.getServerName();//项目根路径
                  int serverPort = request.getServerPort(); //端口号
                  if(!referer[2].equals(serverName+":"+serverPort)){
                     request.getRequestDispatcher("failPage").forward(request, response);
                  }
            }
……
}

jishuang · 发表于 2019-10-11 17:31:50

UIServer中加一个filter控制看看
https://blog.csdn.net/niuch1029291561/article/details/86705803

ll2017 · 发表于 2019-10-12 09:21:54

本帖最后由 ll2017 于 2019-10-12 09:23 编辑

顺道问下，过滤器在dsrc下创建上以后，包名显示缺省包，web.xml里面filter包名怎么找？
<filter>
<filter-name>RefererFilter</filter-name>
<filter-class>？？</filter-class>
</filter>

过滤器位置？

jishuang · 发表于 2019-10-12 11:02:32

不是在UI下创建，要放到UIServer下，UIServer就是一个标准的web应用

ll2017 · 发表于 2019-10-12 11:04:24

jishuang 发表于 2019-10-12 11:02
不是在UI下创建，要放到UIServer下，UIServer就是一个标准的web应用

具体怎么在X5里添加过滤器，能不能给个参考链接

jishuang · 发表于 2019-10-12 11:56:31

UIServer就是一个标准的web应用，studio中把UIServer导入，然后在src下创建filter，再进行配置啊

ll2017 · 发表于 2019-10-12 12:32:29

解决了，结贴吧

		自动登录	找回密码
密码			注册

[结贴] APPSCAN扫描跨站点请求伪造