appscan扫描站点漏洞解决方案
日期:2014-05-18 浏览次数:21030 次
appscan扫描站点漏洞
appscan扫描站点漏洞,提示css文件夹有安全问题
严重性:低
测试类型:基础结构
修复任务:对禁止的资源发布“404 ‐ Not Found”响应状态代码,或者将其完全除去!
这个怎么改让扫描通过啊?
项目通不过验收就因为这个。郁闷
------解决方案--------------------
你给的资料太少,其实你应该把人家给你所谓检测报告中有关这个bug的一小节全都贴出来,这样才好理解那个检测是想干什么。
我想这个所谓的检测,是认为凡是不输出内容,都应该给出404错误,而不应该给出例如403、500等错误。这种检测也许比较变态(问题我们自己的做的web服务,对于一些目录我就给出500错误、403错误,这样才好调试嘛,而且这样有什么漏洞可言?)
那些所谓的检测可能汇报给你说“假设禁止人家访问,就不要暴露给别人这个目录存在”。“对禁止的资源发布404 ‐ Not Found响应状态代码,或者将其完全除去”大致就是这个意思。
我认为就这点bug来说,这种所谓的检测是不恰当的。
------解决方案--------------------
回到你的问题,可能是你的网页中恰好有个css访问时很悲剧地遇到了“服务器错误、权限错误”这种常见的错误,于是这个所谓的检测软件就发飙了,它认为一个网站除了404错误以外就不应该有其它错误。
嗯,使用一台超级强大的服务器,除了你们的网站以外服务器上什么别的进程(包括数据库)都不要安装,也不要手工调试和改变网站。就是冒充一个有史以来最稳定、根本不进行任何维护也毫无一星半点除了404以外的错误返回的网站,让它们再扫描吧。
appscan扫描站点漏洞,提示css文件夹有安全问题
严重性:低
测试类型:基础结构
修复任务:对禁止的资源发布“404 ‐ Not Found”响应状态代码,或者将其完全除去!
这个怎么改让扫描通过啊?
项目通不过验收就因为这个。郁闷
------解决方案--------------------
你给的资料太少,其实你应该把人家给你所谓检测报告中有关这个bug的一小节全都贴出来,这样才好理解那个检测是想干什么。
我想这个所谓的检测,是认为凡是不输出内容,都应该给出404错误,而不应该给出例如403、500等错误。这种检测也许比较变态(问题我们自己的做的web服务,对于一些目录我就给出500错误、403错误,这样才好调试嘛,而且这样有什么漏洞可言?)
那些所谓的检测可能汇报给你说“假设禁止人家访问,就不要暴露给别人这个目录存在”。“对禁止的资源发布404 ‐ Not Found响应状态代码,或者将其完全除去”大致就是这个意思。
我认为就这点bug来说,这种所谓的检测是不恰当的。
------解决方案--------------------
回到你的问题,可能是你的网页中恰好有个css访问时很悲剧地遇到了“服务器错误、权限错误”这种常见的错误,于是这个所谓的检测软件就发飙了,它认为一个网站除了404错误以外就不应该有其它错误。
嗯,使用一台超级强大的服务器,除了你们的网站以外服务器上什么别的进程(包括数据库)都不要安装,也不要手工调试和改变网站。就是冒充一个有史以来最稳定、根本不进行任何维护也毫无一星半点除了404以外的错误返回的网站,让它们再扫描吧。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
