AppScan9.0.3.5漏洞扫描记录
1.跨站点脚本编制
这个安全漏洞拿cookie做文章,而且是将前端的一些弹窗方法,要么通过脚本注入,要么通过url.encode之后注入,看几个变异的版本:
版本一:
cookie 从以下位置进行控制: a5d5b093-a2c1-47e5-9604-b661c124344a 至:a5d5b093-a2c1-47e5-9604-b661c124344a"==aalertlert(15)+"
之前是将一个alert注入,现在这个软件知道了,只过滤一次,那我就拆成两个,你过滤一个,合起来还是alert。好贱啊这软件
解决处理:好吧,那我就递归处理了,没想到出现了版本二的变体了,厉害了
版本二:
var _cookies="bosssoft.com.cn=7717ef32-34a8-4a42-b26cf6804549a370;JSESSIONID=Kzdsb2QTHGkTx08XBhTBNJQN7GQlhmnWv0YhmS2tLDxQQT2YbCvK!-2054262092"+ [window['location']='\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3a\x61\x6c\x65\x72\x74\x2832\x29'] +"";
我的天,前端那么多脚本注入方式,这么搞不行啊,而且人家还是通过url.encode,前端弹窗还有各种方式。:
1.window.open() 2.window.location=javascript:alert(1) 3.comfirm("xxx") 4.prompt("xxxx") 5.alert
...
那不是搞死了?防不胜防啊。
解决方案:后来想想,反正这个cookie,在业务系统也没用到,但是jsessionid主要用于负载均衡策略session粘滞。
好吧,一不做二不休。想想既然能够执行的都是函数体,那我就把cookie里头包含以下字符:(、)、[、]、\的全部替换了。
Pattern scriptPattern = Pattern.compile("\\(", Pattern.CASE_INSENSITIVE); if(scriptPattern.matcher(value).find()){ flag=true; return flag; } scriptPattern = Pattern.compile("'", Pattern.CASE_INSENSITIVE); if(scriptPattern.matcher(value).find()){ flag=true; return flag; } scriptPattern = Pattern.compile("\\\\", Pattern.CASE_INSENSITIVE); if(scriptPattern.matcher(value).find()){ flag=true; return flag; } scriptPattern = Pattern.compile("\\[", Pattern.CASE_INSENSITIVE); if(scriptPattern.matcher(value).find()){ flag=true; return flag; } scriptPattern = Pattern.compile("\\]", Pattern.CASE_INSENSITIVE); if(scriptPattern.matcher(value).find()){ flag=true; return flag; }
好吧,cookie的总算解决了,然这软件,坑爹的,用到了表单上,天啊,表单就不能这么搞了,但是安全漏洞不过,不让上线。后来经理说,能解决再说,我们后面补丁撤回来。
没想到,这软件绝了,改值,然后通过url.encode。注入表单,厉害了。
你绝,那我也绝了,把你响应回来的内容,字符我全部给你做了替换了,解决方案如下:
try { value=URLDecoder.decode(value,"UTF-8"); } catch (UnsupportedEncodingException e) { e.printStackTrace(); } value= StringEscapeUtils.escapeJavaScript(value); value= StringEscapeUtils.escapeHtml(value); value= StringEscapeUtils.escapeXml(value);
首先通过URLDecoder.decode将编码的恢复正常,然后通过escapeJavaScript、escapeHtml、escapeXml等将输出的返回到前台,嗯嗯,这下总算解决了这个漏洞,当然上线的时候不能这么搞==!
2.使用 HTTP 动词篡改的认证旁路
这个漏洞,首先将它有问题的链接改成指定的方法,然后再通过第一漏洞处理后,这漏洞就没了
3.会话标识未更新
漏洞原因:在我们的cookie里头存有两个session值,一个是jessionid。一个是我们自己业务系统要使用的,在登录前后这两个session值都要发生变化,这个软件才会认为是安全的,但是jessionid如果变了,可能会影响负载均衡的粘滞问题。既然是为了安全扫描,业务系统登录前后的session是有变化的,但是jessionid是没变,所以把jessionid变了,就好了。这个漏洞就可以解决了。
4.已解密的登录请求
这个漏洞主要是因为传递的参数没有通过ssl即https的方式进行传播,将weblogic开启https,此外如果有Nginx也要开通https,这个漏洞就可以解决了。附一份nginx配置:
#user nobody; worker_processes 4; #error_log logs/error.log; error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; worker_rlimit_nofile 20000; events { use epoll; worker_connections 10240; } http { include mime.types; default_type application/octet-stream; server_tokens off; keepalive_timeout 60 20; client_header_timeout 3m; client_body_timeout 3m; send_timeout 3m; client_header_buffer_size 16k; large_client_header_buffers 4 32k; server_names_hash_max_size 512; server_names_hash_bucket_size 64; sendfile on; tcp_nopush on; tcp_nodelay on; # limit_req_zone $binary_remote_addr zone=http:10m rate=10r/s; # limit_req_zone $http_user_agent zone=useragenttrack:10m rate=10r/s; log_format main '$remote_addr - $remote_user [$time_local] $request ' '"$status" $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log logs/access.log main; map $http_user_agent $is_bot { default 0; ~[a-z]bot 1; ~[sS]pider 1; ~spi_der 1; ~crawler 1; ~ysearch 1; ~Yahoo\sPipes 1; ~BingPreview 1; ~YoudaoFeedFetcher 1; 'Yahoo!\sSlurp' 1; 'Mediapartners-Google' 1; #'Mozilla/5.0' 1; } include appconf/upstream.conf; include appconf/gzip.conf; #lua_need_request_body on; #init_by_lua_file conf/waf/init.lua; #access_by_lua_file conf/waf/waf.lua; # lua_shared_dict limit 50m; # lua_package_path /opt/openresty/nginx/conf/waf/?.lua; # init_by_lua_file conf/waf/init.lua; # access_by_lua_file conf/waf/waf.lua; server { listen 18002 ssl; server_name localhost; ssl_certificate ./ssl/server.crt; ssl_certificate_key ./ssl/server.key; proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header Cookie $http_cookie; add_header Set-Cookie "HttpOnly"; add_header Set-Cookie "Secure"; add_header X-Frame-Options "SAMEORIGIN"; if ($request_method !~ ^(GET|POST|HEAD|DELETE)$ ) { return 405; } location ~ ^/(WEB-INF)/ { return 404; } location ~ ^/(js|css|img|scripts|stylesheets|uploads)/ { root html; access_log off; expires 30d; } location ~ \.(apk|torrent|htm|html|asp|php|gif|jpg|jpeg|png|bmp|ico|rar|css|js|zip|map|java|jar|txt|flv|swf|mid|doc|ppt|xls|pdf|txt|mp3|wma)$ { root html; access_log off; expires 30d; } ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; #ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; set $mscheme $scheme; if ($http_referer ~* ^https.*) { set $mscheme "https"; } proxy_set_header X-Forwarded-Proto $mscheme; } location /finance-web{ proxy_pass http://10.56.30.91:7001/finance-web; set $mscheme $scheme; if ($http_referer ~* ^https.*) { set $mscheme "https"; } proxy_set_header X-Forwarded-Proto $mscheme; } location /appframe-web{ proxy_pass http://10.56.30.91:7001/appframe-web; set $mscheme $scheme; if ($http_referer ~* ^https.*) { set $mscheme "https"; } proxy_set_header X-Forwarded-Proto $mscheme; } location /agency-web{ proxy_pass http://10.56.30.91:7001/agency-web; set $mscheme $scheme; if ($http_referer ~* ^https.*) { set $mscheme "https"; } proxy_set_header X-Forwarded-Proto $mscheme; } } # location ~ ^/nstatus { # stub_status on; # access_log off; # allow 127.0.0.1; # allow 10.236.57.0/24; # deny all; # } error_page 502 504 /502.html; error_page 503 /503.html; error_page 404 /404.html; error_page 403 /403.html; }
5.加密会话(SSL)Cookie 中缺少 Secure 属性
这个问题主要是因为cookie里头的属性secure未设置true。因为部署的容器是weblogic所以在应用的weblogic.xml文件里头新增属性:
<?xml version="1.0" encoding="UTF-8"?> <weblogic-web-app xmlns="http://www.bea.com/ns/weblogic/90" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <container-descriptor> <prefer-web-inf-classes>true</prefer-web-inf-classes> <index-directory-enabled>true</index-directory-enabled> <show-archived-real-path-enabled>true</show-archived-real-path-enabled> </container-descriptor> <charset-params> <input-charset> <resource-path>/*</resource-path> <java-charset-name>UTF-8</java-charset-name> </input-charset> </charset-params> <context-root>/appframe-web</context-root> <session-descriptor> <cookie-http-only>true</cookie-http-only> <cookie-secure>true</cookie-secure> </session-descriptor> </weblogic-web-app>
如图要新增
<session-descriptor> <cookie-http-only>true</cookie-http-only> <cookie-secure>true</cookie-secure> </session-descriptor>
如何验证呢?
可以加,
但是没加前,获取cookie是空的 ,也就是说没有通过https传递cookie,那么document.cookie获取不到cookie
此外在nginx配置里头也要加上
add_header Set-Cookie "HttpOnly"; add_header Set-Cookie "Secure"; add_header X-Frame-Options "SAMEORIGIN";
另外如果是shiro工程,要在spring-shiro.xml下加上配置:
<!-- 会话Cookie模板 --> <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie"> <constructor-arg value="bosssoft.com.cn"/> <property name="httpOnly" value="true"/> <property name="secure" value="true"/> <!--cookie的有效时间 --> <property name="maxAge" value="-1"/> </bean>
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。
Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cookie是在https的情况下创建的,而且他的Secure=true,那么之后你一直用https访问其他的页面(比如登录之后点击其他子页面),cookie会被发送到服务器,你无需重新登录就可以跳转到其他页面。但是如果这是你把url改成http协议访问其他页面,你就需要重新登录了,因为这个cookie不能在http协议中发送。
6.检查到目标URL存在http host头攻击漏洞
上述问题出现的原因为在项目中使用了 request.getServerName 导致漏洞的出现,不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP头部中的:
String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
这样的使用方法就会被漏洞检测工具查出来,认定有头攻击漏洞。
解决方案:在CSRFFilter过滤器中加入头部攻击判断:
String requestHost=((HttpServletRequest) request).getHeader("host"); if(requestHost!=null&&!isWhiteHost(requestHost)){ ((HttpServletResponse) response).setStatus(403); return; }
7.检查到目标站点存在JavaScript框架库漏洞
这个问题,主要是因为jquery.js在低版本中存在安全漏洞的问题,只要替换高版本的jQuery.js库就可以解决了,当然要考虑高版本对IE8的兼容问题。可以参考博文《Jquery3.x高版本支持IE8》