起步软件技术论坛
搜索
 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 6083|回复: 7

[结贴] APPSCAN扫描跨站点请求伪造

[复制链接]

21

主题

60

帖子

184

积分

初级会员

Rank: 2

积分
184
QQ
发表于 2019-10-11 17:06:19 | 显示全部楼层 |阅读模式
版本: BeX5V3.3 小版本号:
数据库: Oracle 服务器操作系统: Linux 应用服务器: Tomcat
客户端操作系统: Windows 其它 浏览器: Chrome
使用了IBM APPSCAN V9.0.3.12对应用系统进行了安全扫描,通过扫描发现有下图的漏洞请问怎么修补?

跨站点请求伪造

跨站点请求伪造



21

主题

60

帖子

184

积分

初级会员

Rank: 2

积分
184
QQ
 楼主| 发表于 2019-10-11 17:09:58 | 显示全部楼层
本帖最后由 ll2017 于 2019-10-11 17:19 编辑

UI\system\service\common\dsrc目录下BizAction.java文件中已对doPost及doGet方法的request进行过过滤判断,但还有部分跨站点漏洞存在
protected void doPost(HttpServletRequest request,
                        HttpServletResponse response) throws ServletException, IOException {
                String failPage ="/error.jsp";//发生注入时,跳转页面
                //跨站点伪造
                String fullurl = request.getHeader("Referer");
                if(fullurl != null){
                        String[] referer = fullurl.split("/");   //请求来源全路径
                    String serverName = request.getServerName();//项目根路径
                    int serverPort = request.getServerPort(); //端口号
                    if(!referer[2].equals(serverName+":"+serverPort)){
                        request.getRequestDispatcher("failPage").forward(request, response);
                    }
                }
……
}
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
35878
发表于 2019-10-11 17:31:50 | 显示全部楼层
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

21

主题

60

帖子

184

积分

初级会员

Rank: 2

积分
184
QQ
 楼主| 发表于 2019-10-12 09:21:54 | 显示全部楼层
本帖最后由 ll2017 于 2019-10-12 09:23 编辑

顺道问下,过滤器在dsrc下创建上以后,包名显示缺省包,web.xml里面filter包名怎么找?
<filter>
    <filter-name>RefererFilter</filter-name>
    <filter-class>??</filter-class>
  </filter>

过滤器位置?

过滤器位置?



回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
35878
发表于 2019-10-12 11:02:32 | 显示全部楼层
不是在UI下创建,要放到UIServer下,UIServer就是一个标准的web应用
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

21

主题

60

帖子

184

积分

初级会员

Rank: 2

积分
184
QQ
 楼主| 发表于 2019-10-12 11:04:24 | 显示全部楼层
jishuang 发表于 2019-10-12 11:02
不是在UI下创建,要放到UIServer下,UIServer就是一个标准的web应用

具体怎么在X5里添加过滤器,能不能给个参考链接
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
35878
发表于 2019-10-12 11:56:31 | 显示全部楼层
UIServer就是一个标准的web应用,studio中把UIServer导入,然后在src下创建filter,再进行配置啊
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

21

主题

60

帖子

184

积分

初级会员

Rank: 2

积分
184
QQ
 楼主| 发表于 2019-10-12 12:32:29 | 显示全部楼层
解决了,结贴吧
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|X3技术论坛|Justep Inc.    

GMT+8, 2024-3-29 02:18 , Processed in 0.080199 second(s), 28 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表