WEB安全漏洞扫描与处理(下)——安全报告分析和漏洞处理
1 AppScan生成的安全报告分析
利用AppScan生成安全报告,可以提前对要生成的安全报告的内容进行选择,如下图,最全的安全报告内容,包括摘要,安全性问题,咨询和修订建议,应用程序数据等。
生成的安全报告,基本上包含了以上的内容,具体的样例如下图。
其中的介绍部分,主要介绍了WEB安全不同严重级别的漏洞数量,扫描的时间,测试策略,主机IP,端口,登录方法,登录相关设置等信息。
摘要部分,主要描述了问题的类型说明,有漏洞的URL列表,修复任务和问题数量,安全风险和问题数量,漏洞原因和问题数量,WASC威胁分类和问题数量等。
按问题类型分类的问题部分,按照严重性从高到低列出了不同类型的漏洞问题,以及问题的分析,风险的描述,风险原因,测试的请求和响应信息等。
修订建议部分,针对前面发现的不同漏洞问题,提出了对应的修复建议。
咨询部分,也是针对不同的漏洞问题,从多个角度进行分析说明。
应用程序数据部分,列出了扫描过程中,应用程序的一些信息,访问的URL,访问的参数,失败的请求,JavaScript等等。
2 漏洞的处理
安全报告中的漏洞从严重性上可分为高、中、低三级,对于不同严重级别漏洞的处理,可以采用不同的处理方式,一般情况下,需要将高、中级别的漏洞解决掉,低级别的漏洞不做处理。
具体的处理方法,基本上按照漏洞处理建议,进行对应的处理。可以采用的处理措施包括安装第三方产品的最新补丁或修订程序,完善Web应用程序编程或配置,对用户输入字符进行必要的处理等,针对具体的漏洞问题,根据修订建议进行处理。
3 漏洞修复案例
在实际的安全漏洞扫描中,我们收到的安全报告,碰到了一些高危漏洞。这里通过一个高危漏洞的示例,说明漏洞的解决方法。
漏洞名称:通过 Bash 绑定远程命令执行(也称为 Shellshock,也称为 Bashdoor)Bashdoor)。
解决该漏洞的修订建议是应用适合的Bash版本补丁,而且给出了补丁地址。
在http://ftp.gnu.org/pub/gnu/bash/中,查找bash版本补丁,可以查找bash较新的版本,然后下载这个bash-5.0.tar.gz版本。
将文件上传到有漏洞的linux服务器上,利用tar命令解压该文件,然后cd到解压目录,执行
./configure && make && make install
安装编译bash-5.0,完成后,查看版本信息。
[root@localhost ~]# bash –version
GNU bash,版本 5.0.0(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2019 Free Software Foundation, Inc.
许可证 GPLv3+: GNU GPL 许可证第三版或者更新版本 http://gnu.org/licenses/gpl.html
通过版本说明,可以看到bash5.0已经安装成功。
然后再通过AppScan工具进行安全漏洞扫描,结果发现,Bash漏洞已经消失,说明通过安装新版本补丁,已经解决了Bash漏洞。
4 结语
分析了AppScan生成的安全报告,并且通过安全报告提供的漏洞解决方法,利用一个示例,解决了高危漏洞,通过文章介绍,可以利用AppScan进行系统的安全漏洞检测,并且解决相应的安全漏洞,提升Web应用的安全防护能力。