appscan扫描站点漏洞

chenhaoying 2012-03-09 09:44:07
appscan扫描站点漏洞,提示css文件夹有安全问题
严重性:低
测试类型:基础结构
修复任务:对禁止的资源发布“404 ‐ Not Found”响应状态代码,或者将其完全除去!

这个怎么改让扫描通过啊?
项目通不过验收就因为这个。郁闷
...全文
772 10 打赏 收藏 转发到动态 举报
写回复
用AI写文章
10 条回复
切换为时间正序
请发表友善的回复…
发表回复
chenhaoying 2012-07-16
  • 打赏
  • 举报
回复
解决方法1:iis里面设置默认错误页面为我们指定的errpage.html页面,不要使用系统默认的错误页面。
解决方法2:在img文件夹里面放个空的默认页(比如空的index.aspx),这样就不会有【找不到页面或无权查看】的错误了。
eminemhj 2012-07-04
  • 打赏
  • 举报
回复
分享下解决办法吧,痛苦中........
eminemhj 2012-07-04
  • 打赏
  • 举报
回复
找到解决办法的贴出来分享下啊,痛苦中.........
chenhaoying 2012-03-13
  • 打赏
  • 举报
回复
找到解决方法了,回头我写个总结,把appscan扫描的常见漏洞问题及解决方法总结一下。
chenhaoying 2012-03-12
  • 打赏
  • 举报
回复
因为css里面放的是一些样式文件,而iis我设置是不能预览文件夹,所以直接访问文件夹的时候iis会使用403.13的默认错误提示权限不够的。我也想要更多的提示信息,可是appscan也就提示那么一点啊。
  • 打赏
  • 举报
回复
回到你的问题,可能是你的网页中恰好有个css访问时很悲剧地遇到了“服务器错误、权限错误”这种常见的错误,于是这个所谓的检测软件就发飙了,它认为一个网站除了404错误以外就不应该有其它错误。

嗯,使用一台超级强大的服务器,除了你们的网站以外服务器上什么别的进程(包括数据库)都不要安装,也不要手工调试和改变网站。就是冒充一个有史以来最稳定、根本不进行任何维护也毫无一星半点除了404以外的错误返回的网站,让它们再扫描吧。
  • 打赏
  • 举报
回复
你给的资料太少,其实你应该把人家给你所谓检测报告中有关这个bug的一小节全都贴出来,这样才好理解那个检测是想干什么。

我想这个所谓的检测,是认为凡是不输出内容,都应该给出404错误,而不应该给出例如403、500等错误。这种检测也许比较变态(问题我们自己的做的web服务,对于一些目录我就给出500错误、403错误,这样才好调试嘛,而且这样有什么漏洞可言?)

那些所谓的检测可能汇报给你说“假设禁止人家访问,就不要暴露给别人这个目录存在”。“对禁止的资源发布404 ‐ Not Found响应状态代码,或者将其完全除去”大致就是这个意思。

我认为就这点bug来说,这种所谓的检测是不恰当的。
chenhaoying 2012-03-10
  • 打赏
  • 举报
回复
顶上去啊。你们web项目验收都没有彭过这个吗?
tan598121925 2012-03-09
  • 打赏
  • 举报
回复
课程声明:该课程是教学使用,视频内涉及漏洞利用方法,请勿在互联网环境中使用;维护互联网安全,人人有责。 适合人群:零基础的大学生、IT技术人员、信息安全从业者、安全运维工程师、渗透测试工程师、漏洞挖掘工程师、白帽子 课程大纲(不完全、可能会在后期加入新的内容):1.攻防环境搭建2.信息收集3.PHP常见危险函数4.Kali Linux常用工具使用方法5.SQL注入原理及利用方法(宽字节注入、delete注入、update型注入、mysql函数报错、延时注入、联合注入、waf绕过等)6.XSS原理及利用方法7.CSRF原理及利用方法8.SSRF原理及利用方法9.文件上传漏洞原理及利用方法10.文件包含读取、代码执行、命令执行原理及利用方法11.逻辑漏洞原理及利用方法12.BurpSuite各个模块使用方法13.MSF后渗透使用方法14.Appscan、AWVS、Nessus、bogy等漏洞扫描器使用方法15.Sqlmap、nmap、中国菜刀等工具使用方法16.目录爆破原理及各个工具使用17.Windows及Linux系统提权18.常见getwebshell方法19.渗透测试面试技巧20.密码暴力破解21.内网攻防22.python开发poc23.Android渗透测试24.搜索引擎的高级用法 学习目标:掌握kali Linux渗透测试技巧、掌握常见漏洞检测及利用方法、全部学习完成后可就业渗透测试工程师、web安全工程师、安全运维工程师、漏洞挖掘工程师、安全驻场工程师等 特别提醒:本课程购买后可永久学习、可享受与讲师互动学习资格

62,025

社区成员

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧