1 AppScan生成的安全報告分析
利用AppScan生成安全報告,可以提前對要生成的安全報告的內容進行選擇,如下圖,最全的安全報告內容,包括摘要,安全性問題,諮詢和修訂建議,應用程式資料等。
生成的安全報告,基本上包含了以上的內容,具體的樣例如下圖。
其中的介紹部分,主要介紹了WEB安全不同嚴重級別的漏洞數量,掃描的時間,測試策略,主機IP,埠,登入方法,登入相關設定等資訊。
摘要部分,主要描述了問題的型別說明,有漏洞的URL列表,修復任務和問題數量,安全風險和問題數量,漏洞原因和問題數量,WASC威脅分類和問題數量等。
按問題型別分類的問題部分,按照嚴重性從高到低列出了不同型別的漏洞問題,以及問題的分析,風險的描述,風險原因,測試的請求和響應資訊等。
修訂建議部分,針對前面發現的不同漏洞問題,提出了對應的修復建議。
諮詢部分,也是針對不同的漏洞問題,從多個角度進行分析說明。
應用程式資料部分,列出了掃描過程中,應用程式的一些資訊,訪問的URL,訪問的引數,失敗的請求,JavaScript等等。
2 漏洞的處理
安全報告中的漏洞從嚴重性上可分為高、中、低三級,對於不同嚴重級別漏洞的處理,可以採用不同的處理方式,一般情況下,需要將高、中級別的漏洞解決掉,低階別的漏洞不做處理。
具體的處理方法,基本上按照漏洞處理建議,進行對應的處理。可以採用的處理措施包括安裝第三方產品的最新補丁或修訂程式,完善Web應用程式程式設計或配置,對使用者輸入字元進行必要的處理等,針對具體的漏洞問題,根據修訂建議進行處理。
3 漏洞修復案例
在實際的安全漏洞掃描中,我們收到的安全報告,碰到了一些高危漏洞。這裡通過一個高危漏洞的示例,說明漏洞的解決方法。
漏洞名稱:通過 Bash 繫結遠端命令執行(也稱為 Shellshock,也稱為 Bashdoor)Bashdoor)。
解決該漏洞的修訂建議是應用適合的Bash版本補丁,而且給出了補丁地址。
在http://ftp.gnu.org/pub/gnu/bash/中,查詢bash版本補丁,可以查詢bash較新的版本,然後下載這個bash-5.0.tar.gz版本。
將檔案上傳到有漏洞的linux伺服器上,利用tar命令解壓該檔案,然後cd到解壓目錄,執行
./configure && make && make install
安裝編譯bash-5.0,完成後,檢視版本資訊。
[root@localhost ~]# bash --version
GNU bash,版本 5.0.0(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2019 Free Software Foundation, Inc.
許可證 GPLv3+: GNU GPL 許可證第三版或者更新版本 http://gnu.org/licenses/gpl.html
通過版本說明,可以看到bash5.0已經安裝成功。
然後再通過AppScan工具進行安全漏洞掃描,結果發現,Bash漏洞已經消失,說明通過安裝新版本補丁,已經解決了Bash漏洞。
4 結語
分析了AppScan生成的安全報告,並且通過安全報告提供的漏洞解決方法,利用一個示例,解決了高危漏洞,通過文章介紹,可以利用AppScan進行系統的安全漏洞檢測,並且解決相應的安全漏洞,提升Web應用的安全防護能力。